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第 2 版 前 言 
自 云 计算 步 入 市 场 算 起 ， 新 一 代 计 算 技 术 刚 好 走 过 了 第 一 个 十 年 。 


在 过 去 十 年 里 ， 围 绕 计算 、 存 储 、 网 络 三 大 基础 服务 ， 围 绕 敏捷 服 
务 和 规模 处 理 两 大 核心 诉求 ， 新 的 概念 、 模 式 和 工具 争 相 涌现 。 这 些 创 
新 的 开源 技术 成 果 ， 提 高 了 整个 信息 产业 的 生产 效率 ， 降 低 了 应 用 信息 
技术 的 门槛 ， 让 “互联 网 +* 成 为 可 能 。 


如 果 说 软件 定义 网 络 (SDN) 和 网 络 功能 虚拟 化 (NFV) 让 互联 网 
络 的 虚拟 化 进入 了 轩 新 的 阶段 ， 那 么 容器 技术 的 出 现 ， 守 无 疑问 称 得 上 
计算 虚拟 化 技术 的 又 一 大 创新 。 从 Linux Container 到 Docker， 看 似 是 计 
算 技 术 发 展 的 一 小 步 ， 却 是 极为 重要 的 历史 性 突破 。 容 器 带 来 的 不 仅仅 
是 技术 体验 上 的 改进 ， 更 多 的 是 新 的 开发 模式 、 新 的 应 用 场景 、 新 的 业 





容器 技术 上 自身 在 快速 演进 的 同时 ， 笔 者 也 很 欣喜 地 看 到 ， 围 绕 着 容 
器 的 开源 生态 系统 越发 繁盛 。Docker 三 剑客 Machine、Compose、Swarm 
相辅相成 ， 集 团 作 战 ， 搜索 巨人 则 推出 Kubernetes， 领 航 新 一 代 容 器 化 
应 用 集群 平台 ; 还 有 Mesos、CoreOS， 以 及 其 他 众多 的 开源 工具 。 这 些 
工具 的 出 现 ， 弥 补 了 现 有 容器 技术 栈 的 不 足 ， 极 大 地 丰富 了 容器 技术 的 
应 用 场景 ， 增 强 了 容器 技术 在 更 多 领域 的 苋 争 力 。 


在 第 2 版 中 ， 笔 者 参照 容器 拉 术 最 新 进展 对 全 书 内 容 进 行 了 修订 完 
普 ， 并 增加 了 第 四 部 分 专门 介绍 与 容 絮 相关 的 知名 开源 项 目 ， 利 用 好 这 
些 优秀 的 开源 平台 ， 可 以 更 好 地 在 生产 实践 中 受益 。 


成 书 之 际 ，Docker 发 布 了 1.13 版 本 ， 带 来 了 更 稳定 的 性 能 和 更 多 有 
趣 的 特性 。 


再 次 感谢 容 右 技术 ， 感 谢 开 源 文化 ， 硕 望 开源 技术 能 得 到 更 多 的 文 
持 和 页 献 ! 


最 后 ，IBM 中 国 研究 院 的 刘 天 成 、 李 玉 博 等 帮忙 审阅 了 部 分 内 容 ， 
在 此 表达 最 深厚 的 感谢 ! 











杨 保 华 


2016 年 12 月 于 北京 


第 1 版 前 言 


在 一 台 服 务 器 上 同时 运行 一 百 个 虚拟 机 ， 肯 定 会 被 认为 是 痴 人 说 
梦 。 而 在 一 台 服 务 器 上 同时 运行 一 干 个 Docker 容 器 ， 这 已 经 成 为 现实 。 
在 计算 机 技术 高 速 发 展 的 今天 ， 昔 日 的 天 方 夜 谭 正 在 一 个 个 变 成 现实 。 


多 年 的 研发 和 运 维 (DevOps) 经 历 中 ， 笔 者 时 常会 碰 到 这 样 一 个 
困境 : 用 户 的 需求 越 来 越 多 样 ， 系 统 的 规模 越 来 越 庞 大 ， 运 行 的 软件 越 
来 越 复 杂 ， 环 境 配 置 问题 所 造成 的 麻烦 层出不穷 ..…. 为 了 解决 这 些 问 
题 ， 开 源 社 区 推出 过 不 少 优秀 的 工具 。 这 些 方案 虽然 在 茶 些 程度 上 确 能 
We 


让 作为 企业 最 核心 资源 的 工程 师 们 花费 大 量 的 时 间 ， 去 解决 各 种 环 
境 和 配置 引发 的 Bug， 这 真 的 正常 吗 ? 


回顾 计算 机 的 发 展 历程 ， 最 初 ， 程 序 设 计 人 员 需 要 直接 操作 各 种 枯 
燥 的 机 器 指令 ， 编 程 效率 之 低 可 想 而 知 。 高 级 语言 的 诞生 ， 将 机 器 指令 
的 具体 实现 成 功 抽象 出 来 ， 从 此 揭 开 了 计算 机 编程 效率 突飞猛进 的 大 时 
代 。 那 么 ， 为 什么 不 能 把 类 似 的 理念 (抽象 与 分 层 ) 也 引入 到 现代 的 研 
发 和 运 维 领 域 呢 ? 


Docker 无 疑 在 这 一 方向 上 迈 出 了 具有 音 新 意义 的 一 步 。 笔 者 在 刚 接 
触 Docker 时 ， 融 为 它 所 能 带 来 的 敏捷 工作 流程 而 深 深 吸引 ， 也 为 它 能 
分 挖掘 云 计算 资源 的 效能 而 兴奋 不 已 。 我 们 深信 ，Docker 的 出 现 ， 必 将 
给 DevOps 技 术 ， 甚 至 整个 信息 技术 产业 的 发 展 带 来 深远 的 影 啊 。 


笔者 曾 尝试 编写 了 介绍 Docker 拉 术 的 中 文 开源 文档 。 短 短 一 个 月 的 
时 间 ， 竟 收 到 了 来 目 全 球 各 个 地 区 超过 20 万 次 的 阅读 量 和 全 五 星 的 好 
评 。 这 让 我 们 看 到 国内 技术 界 对 于 新 兴 开 源 技术 的 敏锐 嗅觉 和 迫切 需 
求 ， 同 时 也 倍 感 压力 ， 生 怕 其 中 有 不 受 之 处 ， 影 响 了 大 家 学 习 和 推广 
Docker 技 术 的 热情 。 在 开源 文档 撰写 过 程 中 ， 我 们 一 直 在 不 断 思 考 ， 在 
生产 实践 中 到 底 怎 么 用 Docker 才 是 合理 的 ? 在 “华章 图 书 ” 的 帮助 下 ， 终 
于 有 了 现在 读者 手中 的 这 本 书 。 


与 很 多 技术 类 书籍 不 同 ， 本 书 中 避免 一 上 来 就 讲述 元 长 的 故事 ， 而 





























是 试图 深入 浅 出 、 直 奔 主 题 ， 在 最 短 时 间 内 让 读者 理解 和 掌握 最 关键 的 
技术 点 ， 并 且 配 合 实际 操作 案例 和 精炼 的 点 评 ， 给 读者 提供 真正 可 以 上 
手 的 实战 指南 。 


本 书 在 结构 上 分 为 三 大 部 分 。 第 一 部 分 是 Docker 技 术 的 基础 知识 介 
绍 ， 这 部 分 将 让 读者 对 Docker 技 术 能 做 什么 有 个 全 局 的 认识 ， 第 二 部 分 
将 具体 讲解 各 种 典型 场景 的 应 用 案例 ， 供 读者 体会 Docker 在 实际 应 用 中 
的 高 效 秘 决 ， 第 三 部 分 将 讨论 一 些 俩 技术 环节 的 高 级 话题 ， 试 图 让 读者 
理解 Docker 在 设计 上 的 工程 美学 。 最 后 的 附录 归纳 了 应 用 Docker 的 常见 
问题 和 一 些 常 用 的 参考 资料 。 读 者 可 根据 自 号 需求 选择 阅读 重点 。 全 书 
主要 由 杨 保 华 和 戴 王 剑 主 笔 ， 曹 亚 仑 写作 了 编程 开发 和 实践 之 道 章节 。 


本 书 在 写作 过 程 中 参考 了 官方 网 站 上 的 部 分 文档 ， 并 得 到 了 
DockerPool 技 术 社 区 网 友 们 的 积极 反馈 和 支持 ， 在 此 一 并 感谢 ! 
成 稿 之 际 ，Docker 已 经 发 布 了 增强 安全 特性 的 1.3.2 版 本 。 衷 心 祝 愿 


Docker 及 相关 技术 能 够 快速 成 长 和 成 熟 ， 让 众多 IT 从 业 人 员 的 工作 和 生 
活 都 更 加 健康 、 更 加 美好 ! 
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k 有 8 章 内 容 ， 笔 者 将 介绍 Docker 和 容器 的 相关 基础 知识 。 


第 1 章 介 绍 Docker 的 前 世 与 今生 ， 以 及 它 与 现 有 的 虚拟 化 技术 ， 特 
别 是 Linux 容 器 技术 的 关系 。 


第 2 章 介 绍 Docker 的 三 大 核心 概念 ， 以 及 如 何在 常见 的 操作 系统 环 
境 中 安装 Docker。 


第 3 章 到 第 5 章 通过 具体 的 示例 ， 讲 解 使 用 Docker 的 利 见 操作 ， 包 括 
BR. Aart OJ o 


剖析 如 何在 Docker 中 使 用 数据 卷 来 保存 持久 化 数据 。 
介绍 如 何 使 用 问 口 映射 和 容器 互联 来 方便 外 部 对 容 髓 服务 的 





第 6 章 
第 7 章 


第 8 章 介 绍 如 何 编写 Dockerfile 配 置 文件 ， 以 及 使 用 Dockerfile 来 创建 
镜像 的 具体 方法 和 注意 事项 。 


P1 ” 初 识 容 器 与 Docker 


如 果 说 主机 时 代 大 家 比拼 的 是 蛙 个 服务 占 物 理性 能 (如 CPU 主 频 和 
内 存 ) ， 那 么 在 云 时 代 ， 最 为 看 重 的 则 是 凭借 虚拟 化 技术 所 构建 的 集群 
处 理 能 


伴随 着 信息 技术 的 飞速 发 展 ， 虚 拟 化 技术 早已 经 广泛 应 用 到 各 种 关 
键 场景 中 。 从 20 世 纪 60 年 代 IEM 推 出 的 大 型 主机 虚拟 化 ， 到 后 来 以 
Xen, KVM 为 代表 的 虚拟 机 虚拟 化 ， 再 到 现在 以 Docker 为 代表 的 容器 技 
术 ， 虚 拟 化 技术 自身 也 在 不 断 进行 创新 和 突破 。 


传统 来 看 ， 虚 拟 化 既 可 以 通过 硬件 模拟 来 实现 ， 也 可 以 通过 操作 系 
统 软件 来 实现 。 而 容器 技术 则 更 为 优雅 ， 它 充分 利用 了 操作 系统 本 身 己 
有 的 机 制 和 特性 ， 可 以 实现 远 超 传统 虚拟 机 的 轻 量 级 虚拟 化 。 因 此 ， 有 
人 甚至 把 它 称 为 新 一 代 的 虚拟 化 "技术 ， 并 将 基于 容器 打造 的 云 平台 闪 
切 地 称 为 “容器 云 ”。 


Docker 宣 无 疑问 正 是 众多 容 髓 技术 中 的 佼佼 者 ， 是 容器 技术 发 展 过 
程 中 耀眼 的 一 抹 亮 色 。 那 么 ， 什 么 是 Docker? 它 会 带 来 哪些 好 处 ? 它 跟 
现 有 虚拟 化 技术 又 有 何 关 系 ? 


本 章 首 先 会 介绍 Docker 项 目的 起 源 和 发 展 过 程 ， 之 后 会 为 大 家 剖析 
Docker 和 相关 容器 技术 ， 以 及 它 在 DevOps 等 场景 带 来 的 巨大 便利 。 最 
后 ， 还 将 阐述 Docker 在 整个 虚拟 化 领域 中 的 技术 定位 。 














1.1 什么 是 Docke 
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= Sib et 
1.Docker 开 源 项 日 背景 


Docker 是 基于 Go 语言 实现 的 开源 容器 项 目 ， 诞 生 于 2013 年 年 初 ， 
初 发 起 者 是 dotCloud 公 司 。 We 目 
前 已 有 多 个 相关 项 目 〈 包 括 Docker 三 剑客 、Kubernetes 等 ) ， 逐 渐 形 成 
了 围绕 Docker 容 器 的 生态 体系 。 


由 于 Docker 在 业界 造成 的 影响 力 实在 太 大 ，dotCloud 公 司 后 来 也 直 
接 改 名 为 Docker Inc， 并 专注 于 Docker 相 关 技 术 和 产品 的 开发 。 
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What Is Docker? Solutions GetDocker Pricing OpenSource Company 
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图 1-1 Docker 官 方 网 站 





Docker 项 目 己 加 入 了 Linux 基 金 会， 并 遵循 Apache2.0 协 议 ， 全 部 开 
源 代码 均 在 https:/github.com/dockerdocker 上 进行 维护 。 在 Linux 基 金 会 
最 近 一 次 关于 “最 受 欢迎 的 云 计算 开源 项 目的 调查 中 ，Docker 仅 次 于 
2010 年 发 起 的 OpenStack 项 目 ， 并 仍 处 于 上 升 趋势 。 


现在 主流 的 Linux 操 作 系 统 都 已 经 支持 Docker。 例 如 ， 红 帽 公 司 的 
RHEL 6.5/CentOS 6.5 往 上 的 操作 系统 、Ubuntu 14.04 往 上 的 操作 系统 ， 
都 已 经 在 软件 源 中 默认 带 有 Docker 软 件 包 。Google 公 司 宣称 在 其 
PaaS (Platform as a Service) 平台 及 服务 产品 中 广泛 应 用 了 Docker 容 
器 。IBM 公 司 跟 Docker 公 司 达成 了 战略 合作 伙伴 关系 。 微 软 公司 在 其 云 
平台 Azure 上 加 强 了 对 Docker 的 支持。 公有 云 提 供 商 亚马逊 也 推出 了 
AWS EC? Container 服 务 ， 提 供 对 Docker 和 容器 业务 的 支持 。 


Docker 的 构想 是 要 实现 “Build, Ship and Run Any App, 
Anywhere”， 即 通过 对 应 用 的 封装 (Packaging) 、 分 发 
(Distribution) ~ #8 (Deployment) 、 运 行 (Runtime) 生命 周期 进 
行 管理 ， 达 到 应 用 组 件 “ 一 次 封装 ， 到 处 运行 ?的 目的 。 这 里 的 应 用 组 
件 ， 既 可 以 是 一 个 web 应 用 、 一 个 编译 环境 ， 也 可 以 是 一 套数 据 库 平 台 
服务 ， 甚 至 是 一 个 操作 系统 或 集群 。 


基于 Linux 平 台 上 的 多 项 开源 技术 ，Docker 提 供 了 高 效 、 敏 捷 和 轻 
量 级 的 容器 方案 ， 并 支持 部 署 到 本 地 环境 和 多 种 主流 云 平台 。 可 以 说 ， 
Docker AARI 的 开发 、 运 行 和 部 署 提 供 了 “一 站 式 ” 的 实用 解决 方 


2.Linux 容 器 技术 一 巨人 的 肩膀 


跟 大 部 分 新 兴 技 术 的 诞生 一 样 ，Docker 也 并 非 * 从 石头 颖 里 踊 出 来 
的 ”， 而 是 站 在 前 人 的 肩膀 上 ， 其 中 最 重要 的 就 是 Linux 容 髓 (Linux 
Containers，LXC) 技术 。 


IBM DeveloperWorks 网 站 关于 容器 技术 的 描述 十 分 准确 :“ 容 器 有 
效 地 将 由 单个 操作 系统 管理 的 资源 划分 到 孤立 的 组 中 ， 以 更 好 地 在 孤立 
的 组 之 间 平 衡 有 冲突 的 资源 使 用 需求 。 与 虚拟 化 相 比 ， 这 样 既 不 需要 指 
令 级 模拟 ， 也 不 需要 即时 编译 。 容 器 可 以 在 核心 CPU 本 地 运行 指令 ， 而 
不 需要 任何 专门 的 解释 机 制 。 此 外 ， 也 避免 了 准 虚 拟 化 
(paravirtualization) 和 系统 调用 替换 中 的 复杂 性 。” 








当然 ，LXC 也 经 历 了 长 期 的 演化 。 最 早 的 容器 技术 可 以 追溯 到 1982 
年 Unix 系 列 操作 系统 上 的 chroot 工 具 〈 直 到 今天 ， 主 流 的 Unix、Linux 操 
作 系 统 仍 然 文 持 和 带 有 该 工具 ) 。 早 期 的 容器 实现 技术 包括 Sun Solaris 
操作 系统 上 的 Solaris Containers (2004 年 发 布 ) ，FreeBSD 操 作 系 统 上 的 
FreeBSD jail (2000 年 左右 出 现 ) ， 以 及 GNU/Linux 上 的 Linux-VServer 和 
OpenVZ. 


在 LXC 之 前 ， 这 些 相 关 技 术 经 过 多 年 的 演化 已 经 十 分 成 熟 和 稳定 ， 
但 是 由 于 种 种 原因 ， 它 们 并 没有 被 很 好 地 集成 到 主流 的 Linux 内 核 中 ， 
用 户 使 用 起 来 并 不 方便 。 例 如 ， 如 果 用 户 要 使 用 OpenVZ 技 术 ， 需 要 先 
手动 给 操作 系统 打上 特定 的 内 核 补 丁 方 可 使 用 ， 而 且 不 同 版 本 并 不 一 
致 。 类 似 的 困难 造成 在 很 长 一 段 时 间 内 ， 这 些 优秀 的 技术 只 流传 于 技术 
人 员 的 小 圈子 中 。 


后 来 LXC 项 目 借鉴 了 前 人 成 熟 的 容器 设计 理念 ， 并 基于 一 系列 新 引 
入 的 内 核 特 性 ， 实 现 了 更 具 扩展 性 的 虚拟 化 容器 方案 。 更 加 关键 的 是 ， 
LXC 终 于 被 集成 到 了 主流 Linux 内 核 中 ， 进 而 成 为 了 Linux 系 统 轻 量 级 容 
器 技术 的 事实 标准 。 从 技术 层面 来 看 ，LXC 已 经 不 过 了 绝 大 部 分 
的 “ 坑 "， 完 成 了 容器 技术 实用 化 的 大 半 历 程 


3. 从 Linux 容 器 到 Docker 


在 LXC 的 基础 上 ，Docker 进 一 步 优化 了 容器 的 使 用 体验 ， 让 它 进 入 
了 寻常 百姓 家 。 


首先 ，Docker 提 供 了 各 种 容器 管理 工具 《〈 如 分 发 、 版 本 、 移 植 等 ) 
让 用 户 无 需 头 注 底 层 的 操作 ， 可 以 更 简单 明了 地 管理 和 使 用 容 锅 ， 其 
次 ，Docker 通 过 引入 分 层 文 件 系 统 构建 和 高 效 的 镜像 机 制 ， 降 低 了 迁移 
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早期 的 Docker 代 码 实 现 是 直接 基于 LXC 的 。 目 0.9 厂 本 开始 ，Docker 
开发 了 libcontainer 项 目 ， 作 为 更 广泛 的 容器 驱动 实现 ， 从 而 人 蔡 换 掉 了 
LXC 的 实现 。 目 前 ，Docker 还 积极 推动 成 立 了 runC 标 准 项 目 ， 试 图 让 容 
器 文 持 不 再 局 限于 Linux 操 作 系统 ， 而 是 更 安全 、 更 具 扩 展 性 。 


简单 地 讲 ， 读 者 可 以 将 Docker 容 占 理 解 为 一 种 轻 量 级 的 沙 盒 
(sandbox) 。 每 个 容器 内 运行 着 一 个 应 用 ， 不 同 的 容器 相互 隔离 ， 容 














俐 之 间 也 可 以 通过 网 络 互 相通 信 。 容 器 的 创建 和 停止 部 十 分 快速 ， 几 平 
跟 创建 和 终止 原生 应 用 一 致 ， 为 外 ， 容 占 自 里 对 系统 资源 的 额外 需求 也 
十 分 有 限 ， 远 远 低 于 传统 虚拟 机 。 很 多 时 候 ， 甚 全 直接 把 容器 当 作 应 用 
本 身 也 没有 任何 问题 。 


有 理由 相信 ，Docker 技 术 会 进一步 成 就 ， 将 成 为 更 受 欢迎 的 容器 虚 
拟 化 技术 实现 ， 并 在 云 计算 和 DevOps 等 领域 得 到 更 广泛 的 应 用 。 











1.2 ”为 什么 要 使 用 Docker 
1.Docker 容 器 虚拟 化 的 好 处 


Docker 项 目的 发 起 人 和 Docker 公 司 CTO Solomon Hykes 曾 认为 ， 
Docker 在 正确 的 地 点 、 正 确 的 时 间 顺 应 了 正确 的 趋势 如 何 正 确 地 构 
建 应 用 。 


在 云 时 代 ， 开 发 者 创建 的 应 用 必须 要 能 很 方便 地 在 网 络 上 传播 ， 也 
就 是 说 应 用 必须 脱离 底层 物理 硬件 的 限制 ， 同 时 必须 是 “任何 时 间 、 任 
何 地 点 ”可 获取 的 。 因 此 ， 开 发 者 需要 一 种 新 型 的 创建 分 布 式 应 用 程序 
的 方式 ， 快 速 分 及 和 部 署 ， 这 正 是 Docker 所 能 够 提供 的 最 大 优势 。 


举 个 简单 的 例子 ， 假 设 用 户 试图 基于 最 常见 的 
LAMP (Linux+Apache+MySQL+PHP) 组 合 来 构建 一 个 网 站 。 按 照 传 统 
的 做 法 ， 首 先 ， 需 要 安装 Apache、MySQL 和 PHP 以 及 它们 各 自 运行 所 依 
赖 的 环境 ， 之 后 分 别 对 它们 进行 配置 (包括 创建 合适 的 用 户 、 配 置 参 数 
等 ) ; 经 过 大 量 的 操作 后 ， 还 需要 进行 功能 测试 ， 看 是 否 工作 正常 ， 如 
果 不 正常 ， 则 进行 调试 追踪 ， 意 味 着 更 多 的 时 间 代 价 和 不 可 控 的 风险 。 
可 以 想象 ， 如 果 应 用 数目 变 多 ， 事 情 会 变 得 更 加 难以 处 理 。 


更 为 可 怕 的 是 ， 一 旦 需要 服务 器 迁移 《例如 从 亚马逊 云 迁移 到 其 他 
云 ) ， 往 往 需 要 对 每 个 应 用 都 进行 重新 部 普 和 调试 。 这 些 琐碎 而 无 趣 
的 “体力 活 ”， 极 大 地 降低 了 工作 效率 。 完 其 根源 ， 是 这 些 应 用 直接 运行 
在 底层 操作 系统 上 ， 无 法 保证 同一 份 应 用 在 不 同 的 环境 中 行为 一 致 。 


而 Docker 提 供 了 一 种 更 为 聪明 的 方式 ， 通 过 容器 来 打包 应 用 ， 解 厅 
应 用 和 运行 平台 。 意 味 着 迁移 的 时 候 ， 只 需要 在 新 的 服务 器 上 启动 需要 
的 容器 就 可 以 了 ， 无 论 新 旧 服 务 器 是 否 是 同一 类 型 的 平台 。 这 无 疑 将 节 
约 大 量 的 宝贵 时 间 ， 并 降低 部 署 过 程 出 现 问题 的 风险 。 


2.Docker 在 开发 和 运 维 中 的 优势 
对 开发 和 运 维 (DevOps) 人 员 来 说 ， 可 能 最 梦 宁 以 求 的 效果 束 是 


一 次 创建 或 配置 ， 之 后 可 以 在 任意 地 方 、 任 意 时 间 让 应 用 正常 运行 。 而 
Docker 恰 恰 是 可 以 实现 这 一 终极 目标 的 “瑞士 军刀 ”。 





















































具体 次 来 ，Docker 在 开 及 和 运 维 过 程 中 ， 具 有 如 下 几 个 方面 的 优 


更 快速 的 交付 和 部 署 。 使 用 Docker， 开 发 人 员 可 以 使 用 镜像 来 快 
速 构 建 一 套 标 准 的 开发 环境 ， 开 友 完 成 之 后 ， 测 试 和 运 维和 人员 可 以 直接 
使 用 完全 相同 环境 来 部 车 代 码 。 只 要 开 友 测试 过 的 代码 ， 束 可 以 确保 在 
生产 环境 无 颖 运行 。Docker 可 以 快速 创建 和 删除 容 费 ， 实 现 快速 达 代 ， 
大 量 节约 开发 、 测 试 、 部 署 的 时 间 。 并 且 ， 整 个 过 程 全 程 可 见 ， 使 团队 
更 容易 理解 应 用 的 创建 和 工作 过 程 。 


:更 高 效 的 资源 利用 。Docker 容 器 的 运行 不 需要 额外 的 虚拟 化 管理 
程序 (Virtual Machine Manager，VMM， 以 及 Hypervisor) 支持 ， 它 是 
内 核 级 的 虚拟 化 ， 可 以 实现 更 高 的 性 能 ， 同 时 对 资源 的 额外 需求 很 低 。 
跟 传统 虚拟 机 方式 相 比 ， 要 提高 一 到 两 个 数量 级 。 


更 轻松 的 迁移 和 扩展 。Docker 容 器 几乎 可 以 在 任意 的 平台 上 运 
行 ， 包 括 物理 机 、 虚 拟 机 、 公 有 云 、 私 有 云 、 个 人 电脑 、 服 务 器 等 ， 同 
时 支持 主流 的 操作 系统 发 行 版 本 。 这 种 兼容 性 让 用 户 可 以 在 不 同 平台 之 
间 轻 松 地 迁移 应 用 。 


.更 简单 的 更 新 管理 。 使 用 Dockerfile， 只 需要 小 小 的 配置 修改 ， 就 
可 以 蔡 代 以 往 大 量 的 更 新 工作 。 并 且 所 有 修改 都 以 增 量 的 方式 被 分 发 和 
更 新 ， 从 而 实现 自动 化 并 且 高 效 的 容器 管理 。 


3.Docker 与 虚拟 机 比较 


作为 一 种 轻 量 级 的 虚拟 化 方式 ，Docker 在 运行 应 用 上 与 传统 的 虚拟 
机 方式 相 比 具有 显著 优势 : 


Docker 容 器 很 快 ， 局 动 和 停止 可 以 在 秒 级 实现 ， 而 传统 的 虚拟 机 
方式 需要 数 分 钟 。 


.Docker 容 器 对 系统 资源 需求 很 少 ， 一 台 主 机 上 可 以 同时 运行 数 千 
个 Docker 容 器 (在 IBM 服 务 器 上 已 经 实现 了 同时 运行 10K 量 级 的 容器 实 
例 ) 。 


Docker 通 过 类 似 Git 设 计 理 念 的 操作 来 方便 用 户 获 取 、 分 发 和 更 新 
应 用 镜像 ， 存 储 复 用 ， 增 量 更 新 。 














.Docker 通 过 Dockerfile 文 持 灵 活 的 自动 化 创建 和 部 署 机 制 ， 提 高 工 
作 效 率 ， 使 流程 标准 化 。 


Docker 容 圳 除了 运行 其 中 应 用 外 ， 基 本 不 消耗 额外 的 系统 资源 ， 保 
证 应 用 性 能 的 同时 ， 尽 量 减 小 系统 开销 。 传 统 虚 拟 机 方式 运行 N 个 不 同 
的 应 用 就 要 起 N 个 虚拟 机 (每 个 虚拟 机 需要 单独 分 配 独 占 的 内 存 、 磁 盘 
等 资源 ) ， 而 Docker 只 需要 局 动 N 个 隔离 的 “很 注 的 ”容器 ， 并 将 应 用 放 
进 容 器 内 即 可 。 应 用 获得 的 是 接近 原生 的 运行 性 能 。 


当然 ， 在 隔离 性 方面 ， 传 统 的 虚拟 机 方式 提供 的 是 相对 封闭 的 隔 
离 。 但 这 并 不 意味 着 Docker 就 不 安全 ，Docker 利 用 Linux 系 统 上 的 多 种 
防护 技术 实现 了 严格 的 隔离 可 靠 性 ， 并 且 可 以 整合 众多 安全 工具 。 从 
1.3.0 版 本 开始 ，Docker 重 点 改善 了 容器 的 安全 控制 和 镜像 的 安全 机 制 ， 
极 大 提高 了 使 用 Docker 的 安全 性 。 在 已 知 的 大 规模 应 用 中 ， 目 前 尚未 出 
现 值得 担忧 的 安全 隐患 。 


表 1-1 忌 结 了 使 用 Docker 容 器 技术 与 传统 虚拟 机 技术 的 特性 比较 ， 
可 见 容器 技术 在 很 多 应 用 场景 下 都 具有 巨大 的 优势 。 


表 1-1 Docker 容 需 撤 术 与 传统 虚拟 机 技术 的 特性 比较 





























特 性 容 器 虚拟 机 
启动 一 度 pa 分 钟 级 

性 能 接近 原生 H 

内 存 代价 很 小 较 多 

硬盘 使 用 ‘ACh MB ‘iy GB 
运行 密度 单机 支持 上 和 个 容器 般 几 十 个 
隔离 性 KEMA SERA 
逊 移 性 优秀 地 


1.3 Docker 与 虚拟 化 


虚拟 化 〈Virtualization ) 技术 是 一 个 通用 的 概念 ， 在 不 同 领 域 有 不 
同 的 理解 。 在 计算 领域 ， 一 般 指 的 是 计算 虚拟 化 (Computing 
Virtualization〉， 或 通常 说 的 服务 器 虚拟 化 。 维 基 百 科 上 的 定义 如 
下 : “虚拟 化 是 一 种 资源 管理 技术 ， 是 将 计算 机 的 各 种 实体 资源 ， 如 服 
务 嚣 、 网 络 、 内 存 及 存储 等 ， 予 以 抽象 、 转 换 后 呈现 出 来 ， 打 破 实体 结 
构 间 的 不 可 切割 的 障碍 ， 使 用 户 可 以 比 原 本 的 组 态 更 好 的 方式 来 应 用 这 
些 资源 。” 


可 见 ， 虚 拟 化 的 核心 是 对 资源 的 抽象 ， 目 标 往往 是 为 了 在 同一 个 主 
机 上 同时 运行 多 个 系统 或 应 用 ， 从 而 提高 系统 资源 的 利用 率 ， 并 且 带 来 
降低 成 本 、 方 便 管理 和 容错 容 灾 等 好 处 。 


从 大 类 上 分 ， 虚 拟 化 技术 可 分 为 基于 硬件 的 虚拟 化 和 基于 软件 的 虚 
拟 化 。 其 中 ， 真 正 意 义 上 的 基于 硬件 的 虚拟 化 技术 不 多 见 ， 少 数 如 网 卡 
中 的 单 根 多 IO 虚拟 化 (Single Root I/O Virtualization and Sharing 
Specification, SR-IOV) 等 技术 ， 也 超出 了 本 书 的 讨论 范畴 。 


基于 软件 的 虚拟 化 从 对 象 所 在 的 层次 ， 又 可 以 分 为 应 用 虚拟 化 和 平 
台 虚 拟 化 (通常 说 的 虚拟 机 技术 即 属于 这 个 范畴 ) 。 其 中 ， 前 者 一 般 指 
的 是 一 些 模 拟 设备 或 诸如 Wine 这 样 的 软件 。 后 者 义 可 以 细 分 为 如 下 儿 个 


TR: 


:完全 虚拟 化 。 虚 拟 机 模拟 完整 的 底层 硬件 环境 和 特权 指令 的 执行 
过 程 ， 客 户 操作 系统 无 需 进 行 修改 。 例 如 IBM p 和 z 系 列 的 虚拟 化 、 
VMware Workstation、VirtualBox、QEMU 等 。 


. 便 件 辅助 虚拟 化 。 利 用 硬件 〈 主 要 是 CPU) 辅助 支持 〈 目 前 x86 体 
系 结构 上 可 用 的 硬件 辅助 虚拟 化 技术 包括 Intel-VT 和 AMD-V) 处 理 敏 感 
指令 来 实现 完全 虚拟 化 的 功能 ， 客 户 操作 系统 无 需 修改 ， 例 如 VMware 
Workstation. Xen. KVM. 


部 分 虚拟 化 。 只 针对 部 分 硬件 资源 进行 虚拟 化 ， 客 户 操作 系统 需 
要 进行 修改 。 现 在 有 些 虚 拟 化 技术 的 早期 版 本 仅 支 持 部 分 虚拟 化 。 


“MERI Cparavirtualization) 。 部 分 硬件 接口 以 软件 的 形式 提供 























给 客户 机 操作 系统 ， 客 户 操作 系统 需要 进行 修改 ， 例 如 早期 的 Xen。 


-操作 系统 级 虚拟 化 。 内 核 通过 创建 多 个 虚拟 的 操作 系统 实例 《内 
核 和 库 ) 来 隔离 不 同 的 进程 。 容 器 相关 技术 即 在 这 个 范畴 。 


可 见 ，Docker 以 及 其 他 容器 技术 ， 都 属于 操作 系统 虚拟 化 这 个 范 
畴 ， 操 作 系 统 虚 拟 化 最 大 的 特点 承 是 不 需要 额外 的 supervisor 文 持 。 


Docker 虚 拟 化 方式 之 所 以 有 众多 优势 ， 这 与 操作 系统 虚拟 化 技术 日 
身 的 设计 和 实现 是 分 不 开 的 。 


图 1-2 比 较 了 Docker 和 常见 的 虚拟 化 方式 的 不 同 之 处 。 
ie 
wtih 区 行 时 环 
运行 时 环境 KAN wna EE 
腊 拟 机 操作 系统 ”虚拟 机 操作 系统 运行 时 环境 FANI 





虚拟 机 管理 程序 Docker RAXA 






宿主 机 操作 系统 
tthe 
a) 传统 的 虚拟 化 方式 b) Docker 虚拟 化 方式 
图 1-2 Docker 和 传统 的 虚拟 化 方式 的 不 同 之 处 


传统 方式 是 在 硬件 层面 实现 虚拟 化 ， 需 要 有 额外 的 虚拟 机 管理 应 用 
和 虚拟 机 操作 系统 层 。Docker 容 需 是 在 操作 系统 层面 上 实现 虚拟 化 ， 直 
接 复 用 本 地 主机 的 操作 系统 ， 因 此 更 加 轻 量 级 。 









1.4 本 章 小 结 
本 章 介 绍 了 容器 虚拟 化 的 基本 概念 、Docker 的 诞生 及 发 展 历 史 ， 以 
及 容 吉 在 云 时 代 应 用 分 发 场景 下 的 巨大 优势 。 


与 传统 的 虚拟 机 相 比 ， 容 需 虚 拟 化 方式 在 很 多 场景 下 都 有 极为 明显 
的 优势 。 无 论 是 系统 管理 员 、 应 用 开发 人 员 、 测 试 人 员 以 及 运 维 管理 人 
员 ， 都 应 该 尽快 掌握 Docker， 尺 早 享受 其 带 来 的 巨大 便利 。 


后 续 章 他， 笔者 将 结合 实践 案例 具体 介绍 Docker 的 安装 、 使 用 ， 证 
我 们 一 起 开启 精彩 的 Docker 之 旅 。 

















第 2 章 “” 核心 概念 与 安装 配置 
本 章 首先 介绍 Docker 的 三 大 核心 概念 。 
.镜像 mage) 
` 容 器 (Container) 

.仓库 (Repository) 


只 有 理解 了 这 三 个 核心 概念 ， 才 能 顺利 地 理解 Docker 容 器 的 整个 生 
命 周 期 。 


随后 ， 笔 者 将 介绍 如 何在 常见 的 操作 系统 平台 上 安装 Docker， 包 括 
Ubuntu、CentOS、MacOS 和 Windows 等 主流 操作 系统 平台 。 


2.1 核心 概念 


Docker 的 大 部 分 操作 都 围绕 着 它 的 三 大 核心 概念 一 一 镜像 、 容 右 和 
E E 





1.Docker 1% 


Docker 镜 像 类 似 于 虚拟 机 镜像 ， 可 以 将 它 理解 为 一 个 只 读 的 模板 。 
例如 ， 一 个 镜像 可 以 包含 一 个 基本 的 操作 系统 环境 ， 里 面 仅 安装 了 
n 《或 用 户 需要 的 其 他 软件 ) 。 可 以 把 它 称 为 一 个 Apache 
oan o 


镜像 是 创建 Docker 容 器 的 基础 。 通 过 版 本 管理 和 增 量 的 文件 系统 ， 
Docker 提 供 了 一 套 十 分 简单 的 机 制 来 创建 和 更 新 现 有 的 镜像 ， 用 户 甚至 
可 以 从 网 上 下 载 一 个 已 经 做 好 的 应 用 镜像 ， 并 直接 使 用 。 


2.Docker 容 器 


Docker 容 圳 类 似 于 一 个 轻 量 级 的 沙 箱 ，Docker 利 用 容 需 来 运行 和 隔 
离 应 用 。 容 占 是 从 镜像 创建 的 应 用 运行 实例 。 可 以 将 其 局 动 、 开 始 、 集 
止 、 删 除 ， 而 这 些 容 器 都 是 彼此 相互 隔离 的 、 互 不 可 见 的 。 


可 以 把 容器 看 做 是 一 个 简易 版 的 Linux 系 统 环境 〈 包 括 root 用 户 权 
限 、 进 和 空间、 用 户 空间 和 网络 空间 等 以 及 运行 在 其 中 的 应 用 程序 打 
而 成 的 盒子 。 








LS 





Vs = 
YES 


镜像 目 身 是 只 读 的 。 容 需 从 镜像 月 动 的 时 候 ， 会 在 镜像 的 最 上 层 创 
建 一 个 可 写 层 。 


3.Docker 仓 库 





本 Docker 仓 库 类 似 于 代码 仓库 ， 它 是 Docker 集 中 存放 镜像 文件 的 场 


有 时候 会 看 到 有 资料 将 Docker 仓 库 和 仓库 注册 服务 器 (Registry) 
混为一谈 ， 并 不 严格 区 分 。 实 际 上 ， 仓 库 注册 服务 器 是 存放 仓库 的 地 
方 ， 其 上 往往 存放 着 多 个 仓库 。 每 个 仓库 集中 存放 某 一 类 镜像 ， 往 往 包 
括 多 个 镜像 文件 ， 通 过 不 同 的 标签 (tag) 来 进行 区 分 。 例 如 存放 
Ubuntu 操作 系统 镜像 的 仓库 称 为 Ubuntu 仓库 ， 其 中 可 能 包括 14.04、 
12.04 等 不 同 版 本 的 镜像 。 仓 库 注 册 服 务 器 的 示例 如 图 2-1 所 示 。 








Ubuntu 仓库 CentOS 仓库 





图 2-1 EMT IRS a Se 


根据 所 存储 的 镜像 公开 分 享 与 否 ，Docker 仓 库 可 以 分 为 公开 仓库 
(Public) 和 私有 仓库 (Private) 两 种 形式 。 目 前 ， 最 大 的 公开 仓库 是 
官方 提供 的 Docker Hub， 其 中 存放 了 数量 庞大 的 镜像 供用 户 下 载 。 国 内 
不 少 云 服 务 提供 商 〈 如 时 速 云 、 阿 里 云 等 ) 也 提供 了 仓库 的 本 地 源 ， 可 
以 提供 稳定 的 国内 访问 。 


当然 ， 用 户 如 果 不 希 望 公开 分 享 自 己 的 镜像 文件 ，Docker 也 文 持 用 
户 在 本 地 网 络 内 创建 一 个 只 能 自己 访问 的 私有 仓库 。 当 用 户 创 建 了 自己 
的 镜像 之 后 就 可 以 使 用 push 命 令 将 它 上 传 到 指定 的 公有 或 者 私有 仓库 。 
这 样 用 户 下 次 在 男 外 一 台 机 器 上 使 用 该 镜像 时 ， 只 需要 将 其 从 仓库 上 
pull 下 来 就 可 以 了 。 





























提示 


可 以 看 出 ，Docker 利 用 仓库 管理 镜像 的 设计 理念 与 Git 非 党 相似， 
实际 上 在 理念 设计 上 借鉴 了 Git 的 很 多 优秀 思想 。 


2.2 ”安装 Docker 


Docker 在 主流 的 操作 系统 和 云 平台 上 都 可 以 使 用 ， 包 括 Linux 操 作 
系统 (WmUbuntu, Debian, CentOS, Redhat) 、MacOS 操 作 系 统 和 
Windows 操 作 系 统 ， 以 及 AWS 等 云 平台 。 


用 户 可 以 访问 Docker 官 网 的 Get 
Docker Chttps://www.docker.com/products/overview) 页 面 ， 查看 获取 
Docker 的 方式 ， 以 及 Docker 支 持 的 平台 类 型 ， 如 图 2-2 所 示 。 


GET DOCKER 


Docker provides an Integrated technology sulte that enables development and IT operations 
teams to bulld, ship, and run distributed applications anywhere, 


DOCKER PLATFORM DOCKER HUB DOCKER CLOUD DOCKER DATACENTER 


INSTALL THE PLATFORM 


install Docker with easy to use Installers for the major desktop and cloud 
platforms. 





-2 MAC C) WINDOWS A UNUX 
\ Ly y 
‘Anative Mac application with a user L A native Windows application with a \ >.> Install Docker on nodes which have a 

Interface and auto-update capabilities, user Interface and auto-update Linux distribution already Installed, 
that ls deeply Integrated with OS X capabilities, that Is deeply Integrated 
native virtualization, with Windows native virtualization, 
= 

AWS A AZURE OTHERS 
Quickly deploy, scale, and manage Quickly deploy, scale and manage For platforms without a Docker Installer, 
Docker on AWS, Docker for AWS takes Docker on Azure, Docker for Azure takes easlly setup Docker using Docker 
optimal advantage of the underlying optimal advantage of the underlying Machine, 

图 2-2 ”获取 Docker 
在 Get Docker 页 面 ， 我 们 可 以 看 到 目前 Docker 支 持 Docker 


Platform, Docker Hub, Docker Cloud 和 Docker DataCenter. 


‘Docker Platform: 支持 在 桌面 系统 或 云 平 台 安 装 Docker; 





‘DockerHub: 官方 提供 的 云 托管 服务 ， 可 以 提供 公有 或 私有 的 镜像 





.DockerCloud: 官方 提供 的 容器 云 服 务 ， 可 以 完成 容器 的 部 署 与 管 
理 ， 可 以 完整 地 支持 容器 化 项 目 ， 还 有 CI、CD 功 能 


.Docker DataCenter: 提供 企业 级 的 简单 安全 弹性 的 容器 集群 编排 和 
笔者 推荐 尽量 使 用 Linux 操 作 系 统 来 运行 Docker， 因 为 目前 Linux 操 
作 系 统 对 Docker 的 支持 是 原生 的 ， 使 用 体验 最 好 。 
2.2.1 Ubuntu 环 境 下 安装 Docker 
1. 系 统 要 求 


Docker 目 前 只 能 运行 在 64 位 平台 上 ， 并 且 要 求 内 核 版 本 不 低 于 
3.10， 实 际 上 内 核 越 新 越 好 ， 过 低 的 内 核 版 本 容易 造成 功能 不 稳定 。 


用 户 可 以 通过 如 下 命令 检查 自己 的 内 核 版 本 详细 信息 














uname -a 
inux Host 3.16.0-43-generic #58~14. a. 1-Ubuntu SMP Mon Jun 22 10:21:20 UTC 
2015 x86_64 x86_64 x86_64 GNU/Li 





或 者 : 





| Ser ee T ja 
inu 43-generic (buildd@browni ie) (gcc version 4.8.2 (Ubuntu 
4. 3. 2- Fou int ae wie ) #58~14.04.1-Ubuntu SMP Mon Jun 22 10:21:20 UTC 2015 





Docker 目 前 文 持 的 最 低 Ubuntu 版 本 为 12.04 LTS， 但 实际 上 从 稳定 
性 上 考虑 ， 推 荐 至 少 使 用 14.04 LTS 版 本 。 


如 果 使 用 12.04 LTS 版 本 ， 首 先 要 更 新 系统 内 核 和 安装 可 能 需要 的 
软件 包 ， 包 括 : 


-linux-image-generic-lts-trusty (4% ) 


-linux-headers-generic-Its-trusty (44%) 


.XSerVer-Xorg-lts-trusty〈 带 图 形 界 面 时 必 备 ) 

‘libgl1-mesa-glx-lts-trusty 〈 带 图 形 界面 时 必 备 ) 

另外 ， 为 了 让 Docker 使 用 aufs 存 储 ， 推 荐 安装 linux-image-extra 软 件 
包 。 





$ sudo apt-get install -y linux-image-extra-$(uname -r) 


VL Fe 
VES 








Ubuntu 发 行 版 中 ，LTS (Long-Term-Support) 意味 着 更 稳定 的 功能 
和 更 长 期 〈 目 前 为 5 年 ) 的 升级 文 持 ， 生 产 环境 中 尽量 使 用 LTS 上 所 本 。 


2. 添 加 镜像 源 
首先 需要 安装 apt-transport-https 包 支持 HTTPS 协 议 的 源 : 





$ sudo apt-get install -y apt-transport-https 





添加 源 的 gpg 密 钥 : 





$ sudo apt-key adv --keyserver hkp://p80.pool.sks-keyservers.net:80 --recv-keys 
568119E69FSA9528976070ADBE7E5292926E5606B 





获取 当前 操作 系统 的 代号 : 





$ lsb_release -c 
Codename: trusty 





一 般 情况 下 ，12.04 (LTS) 代号 为 precise，14.04 (LTS) 代号 为 
trusty，15.04 代 号 为 vivid，15.10 代 号 为 wily。 这 里 获取 的 代号 为 usty。 


接 下 来 就 可 以 添加 Docker 的 官方 apt 软 件 源 了 。 通 过 下 面 的 命令 创 


建 /etc/apt/sources.list.d/docker.list 文 件 ， 并 写 入 源 的 地 址 内 容 。 非 trusty 版 
本 的 系统 注意 修改 为 自己 对 应 的 代号 : 








$ sudo cat <<EOF > /etc/apt/sources.list. AET lis 
pep https://apt.dockerproject.org/repo ubunt gs main 





添加 成 功 后 ， 更 新 apt 软 件 包 缓存 : 





$ sudo apt-get update 





3. 开 始 安装 Docker 


在 成 功 添加 源 之 后 ， 束 可 以 安装 最 新 版 本 的 Docker 了 ， 软 件 包 名 称 
为 docker-engine: 





$ sudo apt-get install -y docker-engine 





如 果 系 统 中 存在 较 旧 版 本 的 Docker (lxc-docker) ， 会 提示 是 否 先 
删除 ， 选 择 “ 是 ” 即 可 。 


除了 基于 手动 添加 软件 源 的 方式 ， 也 可 以 使 用 官方 提供 的 脚本 来 目 
动 化 安装 Docker: 





$ sudo curl -SSL https://get.docker.com/ | sh 





安装 成 功 后 ， 启 动 docker 服 务 : 





$ sudo service docker start 





2.2.2 ”CentOS 环 境 下 安装 Docker 


系统 的 要 求 与 Ubuntu 情况 下 类 似 : 64 位 操作 系统 ， 内 核 版 本 至 少 为 
3.10。 


Docker 目 前 支持 CentOS ”6.5 及 以 后 的 版 本 ， 推 荐 使 用 CentOS 7% 
统 。 


首先 ， 也 是 要 添加 yum 软 件 源 : 





$ sudo tee /etc/yum.repos.d/docker.repo <<-'EOF' 

[dockerrepo] 

name=Docker Repository 
baseurl=https://yum.dockerproject.org/repo/main/centos/$releasever/ 
enabled=1 

gpgcheck=1 

gpgkey=https://yum.dockerproject.org/gpg 

EOF 





之 后 更 新 yum 软 件 源 缓存 ， 并 安装 docker-engine: 





$ sudo yum update 
$ sudo yum install -y docker-engine 





对 于 CentOS 7 系统 ，CentOS-Extras 源 中 已 内 置 Docker， 如 果 已 经 配 
置 了 CentOS-Extras 源 ， 可 以 直接 通过 上 面 的 yum 命 令 进行 安装 。 


2.2.3 ”通过 脚本 安装 
用 户 还 可 以 使 用 官方 提供 的 shell 脚 本 来 在 Linux 系 统 〈 目 前 支持 


Ubuntu、Debian、Oracleserver、Fedora、Centos、OpenSuse、Gentoo 等 
第 见 发 行 版 ) 上 安装 Docker 的 最 新 正式 版 本 ， 该 脚本 会 自动 检测 系统 信 
ASPET FE VEC: 





$ curl -fsSL https://get.docker.com/ | sh 





或 者 : 





$ wget -q0- https://get.docker.com/ | sh 











如 果 想 尝鲜 使 用 最 新 功能 ， 可 以 使 用 下 面 的 脚本 来 安装 预 发 布 版 
预 发 布 版 本 往往 意味 着 功能 还 不 够 稳定 ， 不 要 在 生产 环 
a H: 





$ curl -fsSL https://test.docker.com/ | sh 





另外 ， 也 可 以 从 github.com/dockerdockerreleases 找 到 所 有 的 发 行 版 
本 信息 和 二 进 制 包 ， 自 行 下 载 使 用 。 


2.2.4 Mac OS 环 境 下 安装 Docker 


Docker 官 方 非常 重视 Docker 在 Mac 环 境 下 的 易 用 性 。 目 前 Docker 支 
持原 生 Mac 客 户 端 ， 内 置 图 形 界面 ， 文 持 目 动 升级 。 此 客户 端 与 Mac OS 
X 的 原生 虚拟 化 深度 结合 ， 据 弃 了 之 前 安装 VirtualBox 〈 即 Docker 
Toolbox) 的 简单 粗暴 的 做 法 。 我 们 先 从 官方 默认 的 Docker for Mac 开 


始 。 


1.Docker for Mac 








第 一 步 ， 下 载 安 装 包 。 访 问 https://docs.docker.comy/docker-for-mac/ 
下 载 页 面 。 目 前 Docker for Mac 分 为 稳定 版 和 Beta 版 两 种 更 新 通道 ， 我 
们 可 以 按 需 选择 。 下 载 完 成 后 ， 双 击 安 装 包 ， 如 图 2-3 所 示 。 








图 2-3 ”下载 后 打开 安装 包 


第 二 步 ， 开 始 安装 。 将 Docker.app 拖 电 至 Applications 文 件 严 ， 即 可 
完成 安装 ， 如 图 2-4 所 示 。 


400 = Du 





图 2-4 ”安装 Docker 到 Applications 文 件 夹 


第 三 步 ， 运 行 Docker for Mac。 在 欢迎 窗口 点 击 “Next*”， 如 图 2-5 所 


Welcome to Docker for Mac Beta! 


We are whaly happy to have you, 





图 2-5 “欢迎 窗口 


允许 Docker 获 得 系统 权限 ， 它 需要 将 Mac 网 卡 链接 全 Docker appo 
反击 “OK” 后 输入 系统 管理 员 密 码 ， 如 图 2-6 所 示 。 


Docker needs privileged access. 


Docker for Mac needs privileged access to install its networking 
components and links to the Docker apps. 





You will be asked for your password, 


| Exit | OK 


图 2-6 ”运行 Docker for Mac 


此 时 系统 状态 栏 会 出 现 Docker 的 Icon 图 标 ， 点 击 后 如 果 出 现 “Docker 
is running! ”， 则 说 明 安 装 成 功 。 


第 四 步 ， 验 证 Docker 安 装 。 打 开 终 端 控制 左 或 其 他 系统 命令 行 ， 执 


行 docker version 命 令 。 





$ docker version 
Client: 


Version: 1.12.0 
API version: 1.24 
Go version: go1.6.3 
Git commit: 8eab29e 
Built: Thu Jul 28 21:15:28 2016 
OS/Arch: darwin/amd64 
Server 
Version: 1.12.0 
API version: 1.24 
Go version: go1.6.3 
Git commit: 8eab29e 
Built: Thu Jul 28 21:15:28 2016 
OS/Arch: linux/amd64 





如 果 我 们 看 到 Client 和 Server 均 有 输出 ， 则 说 明 Docker for Mac 已 经 
正常 启动 。 如 果 我 们 看 到 报错 : “Cannot connect to the Docker daemon.Is 
the docker daemon running on this host? ”， 则 说 明 Docker for Mac 没 有 局 


动 或 启动 失败 。 
下 面 启动 一 个 Nginx 容 器 ， 检 查 能 正确 获取 镜像 并 运行 : 





$ docker run -d -p 80:80 --name webserver nginx 

Unable to find image 'nginx:latest' locally 

latest: Pulling from library/nginx 

51f5c6a04d83: Pull complete 

a3ed95caeb02: Pull complete 

51d229e136d0: Pull complete 

bcd41daec8cc: Pull complete 

Digest: 

sha256 : 0fe6413f3e30Fcc5920bc8fa769280975b10b1c26721de956e1428b9e2Ff 29d04 
Status: Downloaded newer image for nginx:latest 
34bcd01998a76f67b1b9e6abe5b7db5e685af 325d6fafbiacdOce84e81e71e5d 





然后 使 用 docker pH & & AMET NA HS: 





$ docker ps 


CONTAINER ID IMAGE COMMAND CREATED 
STATUS PORTS NAMES 

34bcd01998a7 nginx nginx -g ‘daemon off" 2 minutes ago 
Up 2 minutes 0.0.0.0:80->80/tcp, ie webserver 





可 见 Nginx 容 器 已 经 在 0.0.0.0: 80 启 动 ， 并 映射 了 80 端 口 ， 下 面 我 
们 打开 浏览 器 访问 此 地 址 ， 如 图 2-7 所 示 。 


第 五 步 ， 和 常用 配置 设 定 。 首 先 ， 点 击 系 统 状 态 栏 的 Docker 图 标 ， 会 
出 现 操作 深 单 ， 如 图 2-8 所 示 。 





Welcome to nginx! 


If you see this page, the nginx web server is successfully installed and 
working. Further configuration is required, 


For online documentation and support please refer to nginx.org. 
Commercial support is available at nginx.com, 


Thank you for using nginx, 





图 2-7 允许 访问 系统 权限 


ay CL! @ $ o) 100% Ga O: 


® Docker is running restart 


About Docker 
Check for Upaates... 


Preferences... 


Documentation 
Diagnose & Feedback... 
Open Kitematic 


Quit Docker 





图 2-8 Docker% % 


然后 ， 点 击 Preferences， 进 入 标准 配置 页 面 ， 我 们 可 以 设置 是 否 
动 启动 与 更 新 ， 设 置 备份 工具 Time Machine 是 否 备 份 VM， 还 可 以 配置 
Docker 使 用 的 CPU 数 、 内 存 容量 ， 如 图 2-9 所 示 。 


点 击 进 入 Advanced 进 阶 配 置 。 为 了 更 好 地 使 用 Docker Hub， 我 们 可 
以 使 用 Registry 镜 像 站 点 进行 加 速 。 点 击 + 后 ， 加 入 镜像 站 点 配置 。 这 里 
还 可 以 配置 HTTP 代 理 服务 器 ， 如 图 2-10 所 示 。 


点 击 进 入 File Sharing 标 签 页 ， 此 处 可 以 配置 挂 载 至 容 占 中 的 本 地 日 
录 。 点 击 + 后 可 以 继续 添加 本 地 目录 ， 如 图 2-11 所 示 。 











图 2-9 ”标准 配置 页 面 








图 2-10 ”高 级 配置 页 面 


点 击 进入 Privacy 标 签 页 ， 此 处 可 以 配置 隐私 选项 ， 如 是 否 发 送 使 用 
计 息 ， 以 及 是 否 发 送 程序 崩溃 报告 ， 如 图 2-12 所 示 ， 





图 2-11 文件 分 享 配 置 页 面 


Privacy 


enO d 


General Advanced File Sharing Privacy Uninstall / Reset 











Help improve Docker for Mac! 


(V) Send usage information 


Send system version and language as well as Docker 
app lifecycle information (e.g., starts, stops, resets) 


(v) Send crash reports 


Auto-send crash reports. Docker may prompt for 
more information about a crash even if this is 
checked. 


Note: Docker always sends minimal ping with version 
information. 


@ Docker is running 


图 2-12 ”隐私 配置 页 面 
2.Docker Toolbox 


在 Mac OS X 操 作 系 统 上 安装 Docker， 除 了 Docker for Mac 的 原生 方 
式 之 外 ， 还 可 以 使 用 官方 提供 的 Docker ToolBox LE. 


首先 前 往 下 载 对 应 版 


本 的 ToolBox。 目前 Docker 支 持 的 Mac OS Xx 版 本 为 10.6+。 如 图 2-13 所 
ZN o 


What ls Docker? Solutions Get Docker Pricing OpenSource Company 


DOCKER TOOLBOX 


The Docker Toolbox is an installer to quickly and easily instal and setup a Docker environment on your computer 


[ ren hy wo 





图 2-13 ToolBox 2228 i i 


双击 运行 安装 包 。 这 个 过 程 将 安装 一 个 VirtualBox 虚 拟 机 ， 内 置 了 
Docker Engine、Compose、Machine、Kitematic 等 管理 工具 。 安 装 成 功 
后 ， 找 到 Boot2Docker 并 运行 它 。 如 图 2-14 所 示 。 





@ Introduction 

@ Destination Select 
@ Installation Type 
@ Installation 


@ Summary 


Welcome to the Boot2Docker for Mac OS X Installer 


Boot2Docker for Mac OS X 


This installer will guide you through the steps to install Boot2Docker for 
Mac OS X v1.2.0, 


The docker and boot 2docker binaries will be installed to /usr/ 
local/bin, and can then be run from your Terminal, 

For further information, please see the Docker OS X installation 
documentation, 


To continue, click Continue, 


Cobak | 


图 2-14 Boot2Docker A [ff] 





现在 进行 Boot2Docker 的 初始 化 : 





$ boot2docker init 
$ boot2docker s 
k 


tart 
$ $(boot2docker shellinit) 








将 看 到 虚拟 机 在 命令 行 窗口 中 启动 运行 。 当 虚拟 机 初始 化 完毕 后 ， 
可 以 使 用 boot2docker stop 和 boot2docker start 来 控制 它 。 


注意 ， 如 采 在 命令 行 中 看 到 如 下 提示 信息 : 





To connect the Docker client to the Docker daemon, please set: export DOCKER_ 
HOST=tcp://192.168.59.103:2375 





可 以 执行 提示 信息 中 的 语句 : export 
DOCKER_HOST=tcp://192.168.59.103: 2375。 此 语句 的 作用 是 在 系统 环 
境 变 量 中 设置 Docker 的 主机 地 址 。 


2.2.5 Windows 环 境 下 安装 Docker 


目前 Docker 可 以 通过 虚拟 机 方式 来 支持 Windows 7.1 和 8， 只 要 平台 
CPU 支持 硬件 虚拟 化 特性 即 可 。 如 果 无 法 确定 自己 计算 机 的 CPU 是 否 
持 该 特性 也 无 需 担 心 ， 实 际 上 ， 目 前 市 面 上 主流 的 CPU 都 早已 支持 了 硬 
件 虚拟 化 特性 。 


对 于 Windows ”10 用 户 ，Docker 官 方 提供 了 原生 虚拟 化 应 用 Docker 
for Windows。 详 情 见 : https://docs.docker.com/windows/step one/。 目 前 
内 Windows 7 还 是 主导 地 位 的 版 本 ， 所 以 下 面 主 要 讲解 如 何在 
Windows 7 环境 下 安装 Docker 环 境 。 


由 于 Docker 引 擎 使 用 了 Linux 内 核 特 性 ， 所 以 如 果 要 在 Windows 10 
之 外 的 Windows 上 运行 ， 需 要 额外 使 用 一 个 虚拟 机 来 提供 Linux 文 持 。 
这 里 推荐 使 用 Boot2Docker 工 具 ， 它 会 首先 安装 一 个 经 过 加 工 与 配置 的 
轻 量 级 虚拟 机 ， 然 后 在 其 中 运行 Docker。 主 要 步骤 如 下 : 

















首先 ， 从 https://docs.docker.conyinstallation/windows/ 下 载 最 新 官方 
Docker for Windows Installer。 双 击 打 开 Installer。 这 个 过 程 将 安装 
VirtualBox、MSYS-git、boot2docker Linux ISO 镜像 ， 以 及 Boot2Docker 
管理 工具 。 如 图 2-15 所 示 。 


Welcome to the Docker for 
Windows Setup Wizard 


This wil install Docker for Windows version 0,9 on your 
computer, 


Itis recommended that you close all other applications before 
continuing, 


Click Next to continue, or Cancel to exit Setup, 





图 2-15 Docker for Windows Installer 


最 后 ， 打 开 桌 面 的 Boot2Docker Start 程 序 ， 或 者 Program 
Files\Boot2Docker for Windows。 此 初始 化 脚本 在 第 一 次 运行 时 需要 输入 
一 个 SSH Key Passphrase (用 于 SSH 密 钥 生 成 的 口令 ) 。 读 者 可 以 自行 
设 定 ， 也 可 以 直接 按 回 车 键 跳 过 此 设 定 。 如 图 2-16 所 示 。 





© Boot2Docker Start 
2014/05/27 22:28:05 Started, 


macveim2014/05/27 22:28:05 Docker client does not run on Windows for n 





(2014/05/27 22:28:05 c:\Program Files\Docker for Windows \bo 
2014/05/27 22:28:05 to SSH into the W instead. 

connecting. .. 

2014/05/27 2:28:06 executing: C:\Program Files\Oracle\VirtualB 
ker-vm --machinereadab le 

2014/05/27 22:28:06 executing: ssh -0 StrictHostKeyChecking=no 
22 -1 c:\Users\Sven Dorideit\ ssh\id_boot2docker docker@localh 


arning: Permanently added '[localhost]:2022' (RSA) to the list 
Ht 


HHH = 


ip 可 大 可 种 竹村 不 基于 种 天 名 种 全 “A fie 


Ay ee eye 
SHOU UG ie aa See 
ES) Sa Ae Aes A; MOU 
boot2docker: 0.9.1 
master ; cle798c - Thu May 15 02:57:13 UTC 2014 
docker@boot2docker :~§ 








图 2-16 ”Boot2Docker 安 装 器 


此 时 Boot2Docker Start 程 序 将 连接 至 虚拟 机 中 的 Shell 会 话 ，Docker 
已 经 运行 起 来 了 ! 


2.3 配置 Docker 服 务 


为 了 避免 每 次 使 用 docker 命 令 都 要 用 特权 身份 ， 可 以 将 当前 用 户 加 
入 安装 中 目 动 创建 的 docker 用 户 组 : 








$ sudo usermod -aG docker USER_NAME 





用 户 更 新 组 信息 后 ， 退 出 并 重新 登录 后 即 可 生效 。 


另外 ，Docker 服 务 文 持 多 种 启动 参数 。 以 Ubuntu 14.04 系 统 为 例 ， 
Docker 服 务 的 默认 配置 文件 为 /etc/default/docker， 可 以 通过 修改 其 中 的 
DOCKER_OPTS 来 修改 服务 启动 的 参数 ， 例 如 ， 下 一 行 代码 让 Docker 服 
务 可 以 通过 本 地 2375 端 口 接收 来 自 外 部 的 请 求 : 











DOCKER_OPTS="$DOCKER_OPTS -H tcp://0.0.0.0:2375 -H unix:///var/run/docker.sock" 





修改 之 后 ， 通 过 service 命 令 来 重启 Docker 服 务 : 





$ sudo service docker restart 





一 般 情 况 下 ，Docker 服 务 的 管理 脚本 为 /etc/init.d/docker， 通 过 查看 
其 中 的 内 容 容 ， 发 现 主要 是 将 Docker 进 程 的 id 写 入 /var/run/docker.pid 文 
件 ， 以 及 通过 ulimit 调 整 系统 的 资源 限制 。 


如 果 是 通过 较 新 的 upstart 工 具 来 管理 服务 ， 则 管理 服务 配置 文件 
在 /etc/init/docker.conf。 


另外 ， 对 于 CentOS、Redhat 等 系统 ， 服 务 可 能 是 通过 systemd 来 管 
理 ， 与 此 略 有 不 同 ， 可 以 查阅 systemd 相 关 手 册 。 


例如 ， 需 要 通过 systemctl 命 令 来 管理 Docker 服 务 : 








$ sudo systemctl start docker.service 





此 外 ， 如 果 服 务工 作 不 正常 ， 可 以 通过 查看 Docker 服 务 的 日 志 信 息 


来 确定 问题 ， 例 如 在 Ubuntu 系统 上 日 志文 件 可 能 
为 /var/log/upstart/docker.log: 





$ sudo tail /var/log/upstart/docker .log 





每 次 重启 Docker 服 务 后 ， 可 以 通过 查看 Docker 版 本 信息 ， 确 保 服 务 
已 经 正常 运行 : 








$ docker version 
Client: 


Version: 1.12.0 
API version: 1.24 
Go version: go1.6.3 
Git commit: 8eab29e 
Built: Thu Jul 28 21:15:28 2016 
OS/Arch: darwin/amd64 
Server: 
Version: 1.12.0 
API version: 1.24 
Go version: go1.6.3 
Git commit: 8eab29e 
Built: Thu Jul 28 21:15:28 2016 
OS/Arch: linux/amd64 


Gao [eee | 


2.4 推荐 实践 环境 


从 稳定 性 上 考虑 ， 本 书 推荐 的 实践 环境 的 操作 系统 是 Ubuntu 
14.04.3 ”LTS 系 统 ， 带 有 1linux-image-3.16.0-71-generic 内 核 。Docker 版 本 
为 最 新 的 1.12 稳 定 版 本 。 不 同 版 本 的 API 会 略 有 差异 ， 推 荐 根据 需求 选 
择 较 新 的 稳定 版 本 。 男 外 ， 如 无 特殊 说 明 ， 默 认 数 据 网 段 地 址 范围 为 
10.0.0.0/24， 管 理 网 段 地 址 范围 为 192.168.0.0/24。 


执行 命令 代码 中 以 $ 开 头 的 ， 表 示 为 普通 用 户 ; 以 # 开 头 的 ， 表 示 为 
特权 用 户 Coot) 。 如 果 用 户 已 经 添加 到 了 docker 用 户 组 〈 参 考 上 一 小 
节 ) ， 大 部 分 时 候 都 无 需 管理 员 权 限 ， 人 否则 需要 在 命令 前 使 用 sudo 来 临 
时 提升 权限 。 


部 分 命令 执行 结果 输出 内 容 较 长 的 ， 只 给 出 了 输出 的 关键 部 分 。 读 
者 可 根据 目 己 的 实际 情况 ， 搭 建 类 似 的 环境 。 





2.55 Æa 


本 章 介 绍 了 Docker 的 三 大 核心 概念 : 镜像 、 容 器 和 仓库 。 在 后 面 的 
实践 中 ， 读 者 会 感受 到 ， 基 于 三 大 核心 概念 所 构建 的 高 效 工 作 流程 ， 正 
是 Docker 从 众多 容器 虚拟 化 方案 中 脱颖而出 的 重要 原因 。 实 际 上 ， 
Docker 的 工作 流 也 并 非 凭 空 创 造 的 ， 很 大 程度 上 参考 了 Git 和 Github 的 设 
计 理 念 ， 从 而 为 应 用 分 发 和 团队 合作 都 带 来 了 众多 优势 。 


在 后 续 章 节 ， 笔 者 将 具体 讲解 围 纸 这 三 大 核心 概念 的 Docker 操 作 命 








第 3 章 ” 使 用 Docker 镜 像 


镜像 Cimage) 是 Docker 三 大 核心 概念 中 最 为 重要 的 ， 目 Dockeri 延 
生 之 日 起 “镜像 ”就 是 相关 社区 最 为 热门 的 关键 词 。 


Docker 运 行 容器 前 需要 本 地 存在 对 应 的 镜像 ， 如 果 镜 像 没 保存 在 本 
地 ，Docker 会 尝试 先 从 默认 镜像 仓库 下 载 〈( 默 认 使 用 Docker Hub 公 共 注 
册 服 务 器 中 的 仓库 ) ， 用 户 也 可 以 通过 配置 ， 使 用 自 定 义 的 镜像 仓库 。 


本 章 将 介绍 围绕 镜像 这 一 核心 概念 的 具体 操作 ， 包 括 如 何 使 用 pull 
命令 从 Docker Hub 仓 库 中 下 载 镜 像 到 本 地 ， 如 何 查 看 本 地 已 有 的 镜像 信 
明和 管理 镜像 标签 ， 如 何在 远 端 仓库 使 用 search 命 令 进 行 搜索 和 过 滤 ， 
如 何 删 除 镜 像 标 签 和 镜像 文件 ， 如 何 创 建 用 户 定 制 的 镜像 并 且 保 存 为 外 
部 文件 。 最 后 ， 还 介绍 如 何 往 Docker Hub 仓 库 中 推送 自己 的 镜像 。 











提示 


一 份 非 官 方 研究 报告 表明 ，image 一 直 是 Docker 官 方 社区 
(2014~2016 年 ) 和 StackOverFlow Docker 板 块 (2013~2016 年 的 年 度 
热 词 。 


3.1 获取 镜像 


镜像 是 运行 容器 的 前 提 ， 官 方 的 Docker Hub 网 站 已 经 提供 了 数 十 万 
个 镜像 供 大 家 开放 下 载 。 


可 以 使 用 docker pull 命 令 直 接 从 Docker Hub 镜 像 源 来 下 载 镜像 。 该 
命令 的 格式 为 docker pull NAME[: TAG]。 其 中 ，NAME 是 镜像 仓库 的 
名 称 、 a ，TAG 是 镜像 的 标签 (往往 用 来 表示 版 本 信 
E) 。 通 常情 况 下 ， 描 述 一 个 镜像 需要 包括 “名 称 + 标 签 ” 信 息 。 


例如 ， 获 取 一 个 Ubuntu 14.04 系 统 的 基础 锐 像 可 以 使 用 如 下 的 命 











14.04: Pulling from library/ubuntu 

6c953ac5d795: Pull complete 

3eed5ff20a90: Pull complete 

f8419ea7c1b5: Pull complete 

51900bc9e720: Pull complete 

a3ed95caeb02: Pull complete 

Digest: sha256:97421885f3da3b23f52eeddcaa9f8f91172a8ac3cd5d3cd40b51c7aado9f66cc 
Status: Downloaded newer image for ubuntu:14.04 





对 于 Docker 镜 像 来 说 ， 如 果 不 显 式 指定 TAG， 则 默认 会 选择 latest 标 
签 ， 这 会 下 载 仓库 中 最 新 版 本 的 镜像 。 


下 面 的 例子 将 从 Docker Hub 的 Ubuntu 仓库 下 载 一 个 最 新 的 Ubuntu 操 
作 系 统 的 镜像 。 





$ docker pull ubuntu 

Using default tag: latest 

latest: Pulling from library/ubuntu 

5ba4f30e5bea: Pull complete 

9d7d19c9dc56: Pull complete 

ac6ad7efd0f9: Pull complete 

e7491a747824: Pull complete 

a3ed95caeb02: Pull complete 

Digest: sha256: 46fb5d001b88ad904c5c732b086b596b92cfb4a4840a3abd0e35dbb6870585e4 
Status: Downloaded newer image for ubuntu:latest 





该 命令 实际 上 下 载 的 就 是 ubuntu: latest 镜 像 。 


VY ar 
VE Te. 





一 般 来 说 ， 镜 像 的 latest 标 签 意 味 着 该 镜像 的 内 容 会 跟踪 最 新 的 非 稳 
定 版 本 而 发 布 ， 内 容 是 不 稳定 的 。 当 前 Ubuntu 最 新 的 发 行 版 本 为 
16.04，latest 镜 像 实际 上 就 是 16.04 镜 像 ， 用 户 可 以 下 载 ubuntu: 16.044% 
像 并 查看 ， 两 者 的 数字 摘要 值 是 一 致 的 。 从 稳定 性 上 考虑 ， 不 要 在 生产 
环境 中 忽略 镜像 的 标签 信息 或 使 用 默认 的 latest 标 记 的 镜像 。 


下 载 过 程 中 可 以 看 出 ， 镜 像 文 件 一 般 由 知 干 层 dayer) 组 成 ， 
6c953ac5d795 这 样 的 串 是 层 的 唯一 id (实际 上 完整 的 id 包 括 256 比 特 ， 由 
64 个 十 六 进 制 字符 组 成 )。 使 用 docker pull 命 令 下 载 时 会 获取 并 输出 镜 
ee 当 不 同 的 镜像 包括 相同 的 层 时 ， 本 地 仅 存 储 层 的 一 份 内 
容 ， 减 小 了 需要 的 存储 空间 。 


读者 可 能 会 想到 ， 在 使 用 不 同 的 镜像 仓库 服务 器 的 情况 下 ， 可 能 会 
出 现 镜像 重 名 的 情况 。 


严格 地 讲 ， 镜 像 的 仓库 名 称 中 还 应 该 添加 仓库 地 址 〈 即 registry， 注 
sll hl 作为 前 级 ， 只 是 我 们 默认 使 用 的 是 Docker Hub 服 务 ， 该 前 绥 
可 以 


例如 ，docker pull ubuntu: 1 04 命 令 相 当 于 docker pull 
registry.hub.docker.com/ubuntu: 14.04 命 令 ， 即 从 默认 的 注册 服务 器 
Docker Hub Registry 中 的 ubuntu 仓库 来 下 载 标 记 为 14.04 的 镜像 。 


如 果 从 非 官方 的 仓库 下 载 ， 则 需要 在 仓库 名 称 前 指定 完整 的 仓库 地 
址 。 例 如 从 网 易 蜂 嘛 的 镜像 源 来 下 载 ubuntu: 14. 04 镜 像 可 以 使 用 如 下 
命令 ， 此 时 下 载 的 镜像 名 称 为 hub.c.163.com/public/ubuntu: 14.04: 




















$ docker pull hub.c.163.com/public/ubuntu:14.04 


pull 子 命令 文 持 的 选项 主要 包括 : 
-a，--all-tags=truelfalse: 是 否 获取 仓库 中 的 所 有 镜像 ， 默 认为 否 。 


下 载 镜像 到 本 地 后 ， 即 可 随时 使 用 该 镜像 了 了， 例如 利用 该 镜像 创建 
一 个 容器 ， 在 其 中 运行 bash 应 用 ， 执 行 ping localhost 命 令 : 








ae ubuntu a an ae si 
ees a :/# pin 
PING localhost (127.0. D 9) SBa) ‘bytes et da 
tes from localhost (127.0.0.1): mp_seq= S ttl=64 time=0.058 m 


64 bytes from localhost (127.0.0.1): icmp_seq=2 ttl=64 time=0.023 ms 
64 bytes from localhost (127.0.0.1): icmp_seq=3 tt1=64 time=0.018 ms 
AC 

--- localhost ping statistics --- 

3 packets transmitted, 3 received, 0% packet loss, time 1999ms 

rtt min/avg/max/mdev = 0.018/0.033/0.058/0.017 ms 
root@9c74026df1i2a:/# exit 

exit 


二 一 


3.2 ”查看 镜像 信息 
1. 使 用 images 命 令 列 出 镜像 
使 用 docker images 命 令 可 以 列 出 本 地 主机 上 已 有 镜像 的 基本 信息 。 
例如 ， 下 面 的 命令 列 出 了 上 一 小 节 中 下 载 的 镜像 信息 : 


Oe SIZE 
eks ago 


c 

. 2 w 
latest 2fa927b5cdd3 2 weeks ago 122 MB 
14.04 8f1bd21bd25c 2 weeks ago 188 MB 


在 列 出 的 信息 中 ， 可 以 看 到 以 下 几 个 字段 信息 。 


7 :来 和 目 于 哪个 仓库 ， 比 如 ubuntu 仓库 用 来 保存 ubuntu 系列 的 基础 镜 


.镜像 的 标签 信息 ， 比 如 14.04、latest 用 来 标注 不 同 的 版 本 信息 。 标 
签 只 是 标记 ， 并 不 能 标识 镜像 内 容 ; 


.镜像 的 ID 〈 唯 一 标识 镜像 ) ， 如 ubuntu: latest 和 ubuntu: 16.04 镜 
像 的 ID 都 是 2fa927b5cdd3， 说 明 它 们 目前 实际 上 指向 同一 个 镜像 ; 


创建 时 间 ， 说 明镜 像 最 后 的 更 新 时 间 ; 
-镜像 大 小 ， 优 秀 的 镜像 往往 体积 都 较 小 。 
其 中 镜像 的 ID 信息 十 分 重要 ， 它 唯一 标识 了 镜像 。 在 使 用 镜像 ID 的 


时 候 ， 一 般 可 以 使 用 该 DD 的 前 大 干 个 字符 组 成 的 可 区 分 串 来 丛 代 完整 的 
ID. 








TAG 信息 用 来 标记 来 自 同一 个 仓库 的 不 同 镜像 。 例 如 ubuntu 仓库 中 
有 多 个 镜像 ， 通 过 TAG 信息 来 区 分 发 行 版 本 ， 包 括 10.04、12.04、 
12.10、13.04、14.04、16.04 等 标签 。 














镜像 大 小 信息 只 是 表示 该 镜像 的 逻辑 体积 大 小 ， 实 际 上 由 于 相同 的 
镜像 层 本 地 只 会 存储 一 份 ， 物 理 上 占用 的 存储 空间 会 小 于 各 镜像 的 逻辑 


体积 之 和 。 
-images 子 命令 主要 支持 如 下 选项 ， 用 户 可 以 自行 进行 尝试 。 


a --all=true|false: 列 出 所 有 的 镜像 文件 〈 包 括 临 时 文件 ) ， 默 认 


---digests=true|false: 列 出 镜像 的 数字 摘要 值 ， 默 认为 否 ; 


--f, --filter=[]: 过 小 列 出 的 镜像 ， 如 dangling=true 只 显示 没有 被 使 
用 的 镜像 ， 也 可 指定 带 有 特定 标注 的 镜像 等 ; 


ota "TEMPLATE": ABIR HE 如 .ID 代表 ID 信 
县，.Repository 代 表 仓 库 信 息 等 ; 


-DO- ne eae PH? 吉 果 中 太 长 的 部 分 是 否 进行 截断 ， 如 


"q --quiet=truelfalse: 仅 输 出 ID 信息 ， 默 认为 否 。 


其 中 ， 对 输出 结果 进行 控制 的 选项 如 -f，--filter=[]、--no- 
trunc= hie (false. -q，--quiet=truelfalse 等 ， 大 部 分 子 命令 都 文 持 。 


更 多 子 命令 选项 还 可 以 通过 man docker-images 来 查看 。 
2. 使 用 tag 命 令 添加 镜像 标签 
为 了 方便 在 后 续 工 作 中 使 用 特定 镜像 ， 还 可 以 使 用 docker tag 命 令 来 


为 本 地 镜像 任意 添加 新 的 标签 。 例 如 添加 一 个 新 的 myubuntu: latest 镜 像 
标签 





$ docker tag ubuntu:latest myubuntu: latest 





再 次 使 用 docker images 列 出 本 地 主机 上 镜像 信息 ， 可 以 看 到 多 了 一 
个 拥有 myubuntu: latest 标 签 的 镜像 : 





$ docker images 

REPOSITORY TAG IMAGE ID CREATED SIZE 
ubuntu 16.04 2fa927b5cdd3 2 weeks ago 122 MB 
ubuntu latest 2fa927b5cdd3 2 weeks ago 122 MB 
myubuntu latest 2fa927b5cdd3 2 weeks ago 122 MB 


Ubuntu 14.04 8f1bd21bd25c 2 weeks ago 188 MB 





Zia, AP eta a ee H myubuntu: latest 来 表示 这 个 镜像 了 。 

细心 的 读者 可 能 注意 到 ， 这 些 myubuntu: latest 镜 像 的 ID 跟 ubuntu: 
latest 完 全 一 致 。 它 们 实际 上 指向 同一 个 镜像 文件 ， 只 是 别名 不 同 而 已 。 
docker tag 命 令 添 加 的 标签 实际 上 起 到 了 类 似 链接 的 作用 。 

3. 使 用 inspect 命 令 查 看 详细 信息 


使 用 docker inspect 命 令 可 以 获取 该 镜像 的 详细 信息 ， 包 括 制作 者 、 
适应 架构 、 各 层 的 数字 摘要 等 : 











$ docker inspect ubuntu:14.04 
[ 


"Id": "sha256:8f1bd21bd25c3fb1d4b00b7936a73a0664f932e11406c48a0ef19d82Fd0b7342", 
"RepoTags": [ 

"ubuntu:14.04" 
], 


"RepoDigests": [], 
"Parent": "", 
"Comment": "", 
"Created": "2016-05-27T14:13:04.103044105Z", 
"Container": "eb8c67a3bff6e93658d18ac14b3a2134488c140al1ae1205cOcfdfd49f087113F", 
"ContainerConfig": { 
"Hostname": "fff5562e8198", 
"Domainname": "", 
"User": "", 
"Attachstdin": false, 
"AttachStdout": false, 
"AttachStderr": false, 
"Tty": false, 
"OpenStdin": false, 
"StdinOnce": false, 
"Env": [], 
"Cmd": 
"/bin/sh", 
"e", 
"#(nop) CMD [\"/bin/bash\"]" 


’ 
"Image": "f9cdf71c33f14c7af4b75b651624e9ac69711630e21ceb289f69e0300e90c57d", 
"Volumes": null, 

"WorkingDir": "", 

"Entrypoint": null, 

"OnBuild": null, 

"Labels": {} 


f 
"DockerVersion": "1.9.1", 
"Author": "", 
"Config": { 
"Hostname": "fff5562e8198", 
"Domainname": "", 
"User": "", 
"AttachStdin": false, 
"AttachStdout": false, 
"AttachStderr": false, 
"Tty": false, 
"OpenStdin": false, 
"StdinOnce": false, 
"Env": [], 
"Cmd": 
"/bin/bash" 
1, 
"Image": "f9cdf71c33f14c7af4b75b651624e9ac69711630e21ceb289F 69e0300e90cC57d", 
"Volumes": null, 
"WorkingDir": "", 
"Entrypoint": null, 
"OnBuild": null, 
"Labels": {} 


}, 

"Architecture": "amd64", 
"Os": "linux", 

"Size": 187957543, 
"VirtualSize": 187957543, 


"GraphDriver": { 
ame": "aufs", 
"Data": null 


}, 
"RootFS": { 

"Type": "layers", 

"Layers": 
"sha256:a7e1c363defb1f80633f3688e945754fc4c8f1543fF07114befb5e0175d569f 4c", 
"sha256:dc109d4b4ccf69361d29292fb15e52707507b520aba8cd43a564182f26725d74", 
"sha256: 9f 7ab087e6e6574225f863b6013579a76bd0c80c92fefe7aea92Cc4207b6486cb", 
"sha256: 6f8be37bd578bbabe570b0181602971b0ea3509b79a1a3dd5528a4e3fc33dd6f", 
"sha256: 5f70bf18a086007016e948b04aed3b82103a36bea41755b6cddfafidace3c6ef" 





返回 的 是 一 个 JSON 格 式 的 消息 ， 如 果 我 们 只 要 其 中 一 项 内 容 时 ， 
可 以 使 用 参数 -f 来 指定 ， 例 如 ， 获 取 镜 像 的 Architecture: 





$ docker inspect -f {{".Architecture"}} 
amd64 





4. 使 用 history 命 令 查 看 镜像 历史 


既然 镜像 文件 由 多 个 层 组 成 ， a 么 怎么 知道 各 个 层 的 内 容 有 具体 是 什 
AWE? 这 时 候 可 以 使 用 history 子 命令 ， 该 命令 将 列 出 各 层 的 创建 信息 。 


例如 ， 碍 看 ubuntu: 14.04 镜 像 的 创建 过 程 ， 可 以 使 用 如 下 命令 





$ docker history ubuntu:14.04 


CREATED CREATED BY SIZE COMMENT 
8fibd21bd25c 2 weeks ago /bin/sh -c #(nop) CMD [" /binybash.. ] 
<missing> 2 weeks ago /bin/sh -c sed -i 's/^#\s*\(deb.*universe\)$/ 1.895 kB 
<missing> 2 weeks ago /bin/sh -c rm -rf /var/lib/apt/lists/* OB 
<missing> 2 weeks ago /bin/sh -c set -xe && echo '#!/bin/sh' > /u 194.5 kB 
<missing> 2 weeks ago /bin/sh -c (Nop) ADD file:aca501360d0937bc49 187.8 MB 





注意 过 长 的 命令 被 自动 截断 了 ， 可 以 使 用 前 面 提 到 的 --no-trunc 选 项 


3.3 ”搜寻 镜像 


使 用 docker search 命 令 可 以 搜索 远 端 仓库 中 共享 的 镜像 ， 默 认 搜 索 
n 用 法 为 docker search TERM， 支持 的 参数 主要 包 
省; 





---automated=truelfalse: 仪 显示 上 自动 创建 的 镜像 ， 默 认为 否 ; 
---no-trunc=true|false: 输出 信息 不 截断 显示 ， 默 认为 否 ; 


"s, --Stars=X: 指定 仅 显 示 评 价 为 指定 星 级 以 上 的 镜像 ， 默 认为 
0， 即 输出 所 有 镜像 。 


人 
下 所 示 : 








$ docker search --automated -s 3 nginx 
NAME 


DESCRIPTION STARS OFFICIAL AUTOMATED 
jwilder/nginx-proxy Automated Nginx reverse proxy for docker c... 670 OK 
richarvey/nginx-php-fpm Container running Nginx + PHP-FPM capable ... 206 OK 
millioni2/nginx-php Nginx + PHP-FPM 5.5, 5.6, 7.0 (NG), Centos... 67 OK 
maxexcloo/nginx-php Docker framework container with Nginx and ... 57 OK 
webdevops/php-nginx Nginx with PHP-FPM 38 OK 
h3nrik/nginx-ldap NGINX web server with LDAP/AD, SSL and pro... 27 OK 
bitnami/nginx Bitnami nginx Docker Image 18 OK 
maxexcloo/nginx Docker framework container with Nginx inst... A OK 
millioni2/nginx Nginx: extensible, nicely tuned for better... 4 OK 
webdevops/nginx Nginx container 3 OK 
ixbox/nginx Nginx on Alpine Linux. 3 OK 
evild/alpine-nginx Minimalistic Docker image with Nginx 3 OK 











AAS SKE SRE BRKT IN BR, FP BRA. Hi 


述 、 星 级 《表示 该 镜像 的 受 欢 迎 程度 ) 、 是 个 官方 创建 、 是 否 自动 创建 
Af 
=F o 


默认 的 输出 结果 将 按照 星 级 评价 进行 排序 。 


3.4 删除 镜像 
1. 使 用 标签 删除 镜像 


使 用 docker rmi 命 令 可 以 删除 镜像 ， 命 令 格式 为 docker rmi 
IMAGE[IMAGE...]， 其 中 IMAGE 可 以 为 标签 或 ID。 


例如 ， 要 删除 掉 myubuntu: latest 镜 像 ， 可 以 使 用 如 下 命令 : 





$ docker rmi myubuntu:latest 
Untagged: myubuntu:latest 








读者 可 能 会 担心 ， 本 地 的 ubuntu: latest 镜 像 是 否 会 受 此 命令 的 影 
啊 。 无 需 担心 ， 当 同一 个 镜像 拥有 多 个 标签 的 时 候 ，docker rmi 命令 只 
是 删除 该 镜像 多 个 标签 中 的 指定 标签 而 已 ， 并 不 影响 镜像 文件 。 因 此 上 
述 操作 相当 于 只 是 删除 了 镜像 2fa927b5cdd3 的 一 个 标签 而 已 。 


为 保险 起 见 ， 再 次 查看 本 地 的 镜像 ， 发 现 ubuntu: latest E 
地 说 是 2fa927b5cdd3 镜 像 ) 仍然 存在 : 





$ docker images 


REPOSITORY TAG IMAGE ID CREATED SIZE 

ubuntu 16.04 2fa927b5cdd3 2 weeks ago 122 MB 
ubuntu latest 2fa927b5cdd3 2 weeks ago 122 MB 
ubuntu 14.04 8f1bd21bd25c 2 weeks ago 188 MB 





但 当 镜 像 只 剩 下 一 个 标签 的 时 候 就 要 小 心 了 ， 此 时 再 使 用 docker 
rmi 命 令 会 彻底 删除 镜像 。 


例如 删除 标签 为 ubuntu: 14.04 的 镜像 ， 由 于 该 镜像 没有 额外 的 标签 
指 问 它 ， 执 行 docker rmi 命令 ， 可 以 看 出 它 会 删除 这 个 镜像 文件 的 所 有 
层 : 





$ docker rmi ubuntu:14.04 

Untagged: ubuntu:14.04 

Deleted: sha256:8f1bd21bd25c3fb1d4b00b7936a73a0664f932e11406c48a0ef19d82Fd0b7342 
Deleted: sha256:8ea3b9ba4dd9d448d1ca3ca7afa8989d033532c11050f5e129d267be8de9c1b4 
Deleted: sha256:7db5fb90eb6f fb6b5418f 76dde5f685601f ad200a8f4698432ebf8ba80757576 
Deleted: sha256:19a7e879151723856fb640449481c65c55fc9e186405dd74ae6919F 88eccce75 
Deleted: sha256:c357a3f74f16f61c2cc78dbb0aeif f8c8f4fa79be9388db38a87c7d8010b2Fe4 
Deleted: sha256:a7e1c363defb1f80633f3688e945754fc4c8f1543f07114befb5e0175d569f 4c 





2. 使 用 镜像 ID 删除 镜像 


当 使 用 docker rmi 命令 ， 并 且 后 面 跟 上 镜像 的 ID (也 可 以 是 能 i 
区 分 的 部 分 一 串 前 绥 ) 时 ， 会 先 尝 人 
删除 该 镜像 文件 本 身 。 


注意 ， 当 有 该 镜像 创建 的 容 妖 存在 时 ， 镜 像 文 件 默 认 是 无 法 被 删除 
k a 
TA: 








$ docker run ubuntu:14.04 echo 'hello! I am here!' 
hello! I am here! 





使 用 docker ps-a 命 令 可 以 看 到 本 机 上 存在 的 所 有 容器 : 


可 以 看 到 ， 后 台 存 在 一 个 退出 状态 的 容器 ， 古 刚 基于 ubuntu: 14.04 
镜像 创建 的 。 





$ docker ps -a 

CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 

a21c0840213e ubuntu:14.04 "echo ‘hello! I am he" About a minute 
ago Exited (0) About a minute ago romantic_euler 





试图 删除 该 镜像 ，Docker 会 提示 有 容器 正在 运行 ， 无 法 删除 : 





$ docker rmi ubuntu:14.04 

Error response from daemon: conflict: unable to remove repository reference "ubuntu: 
14.04" (must force) - container a21c0840213e is using its referenced image 
8f1bd21bd25c 





如 果 要 想 强 行 删 除 镜像 ， 可 以 使 用 -{ 参 数 。 





$ docker rmi -f ubuntu 14.04 
Untagged: ubuntu:14 
Deleted: sha256: ae indo bdo Se arb idabodD 70465750908 odie dd 





注意 ， 通 党 并 不 推荐 使 用 -{ 参 数 来 强制 删除 一 个 存在 容器 依赖 的 镜 
像 。 正 确 的 做 法 是 ， 先 删除 依赖 该 镜像 的 所 有 容器 ， 再 来 删除 镜像 。 首 
先 删 除 容 器 a21lc0840213e: 





$ docker rm a21c0840213e 





再 使 用 ID 来 删除 镜像 ， 此 时 会 正常 打印 出 删除 的 各 层 信息 : 





Untagged: ubuntu:14.04 

Deleted: sha256:8f1bd21bd25c3fb1d4b00b7936a73a0664F932e11406c48a0ef19d82Fd0b7342 
Deleted: sha256:8ea3b9ba4dd9d448d1ca3ca7afa8989d033532c11050F5e129d267be8de9c1b4 
Deleted: sha256: 7db5fb90eb6f fb6b5418f 76dde5f685601fad200a8f4698432ebf8ba80757576 
Deleted: sha256:19a7e879151723856fb640449481c65c55fc9e186405dd74ae6919F 88eccce75 
Deleted: sha256:c357a3f74f16f61c2cc78dbb0aeif F8c8Ff4fa79be9388db38a87c7d8010b2Fe4 
Deleted: sha256:a7e1c363defb1f80633f3688e945754fc4c8f1543f07114befb5e0175d569f 4c 


ee | 


3.5 ”创建 镜像 


创建 镜像 的 方法 主要 有 三 种 : 基于 已 有 镜像 的 容器 创建 、 基 于 本 地 
模板 导入 、 基 于 Dockerfile 创 建 。 


本 节 将 重点 介绍 前 两 种 方法 。 最 后 一 种 基于 Dockerfile 创 建 的 方法 
将 在 后 续 章 节 专 门巴 以 详细 介绍 。 


1. 基 于 已 有 镜像 的 容器 创建 

该 方法 主要 是 使 用 docker commit 命 令 。 命 令 格 式 为 docker 
commit[ OPTIONS|CONTAINER[REPOSITORY[: TAGI], 主要 选项 包 
括 : 

.-a，--author="": 作者 信息 ; 


"c, --change=[]: 提交 的 时 候 执 行 Dockerfile 指 令 ， 包 括 
CMDIENTRYPOINTIENVIEXPOSEILABELIONBUILDIUSERIVOLUMEIW 
Af 
wT 5 








--m, --message="": 提交 消息 ; 


— 
Ap 


"p, --pause=true: 提交 时 暂停 容器 运行 。 


下 面 将 演示 如 何 使 用 该 命令 创建 一 个 新 镜像 。 首 先 ， 启 动 一 个 镜 
像 ， 并 在 其 中 进行 修改 操作 ， 例 如 创建 一 个 test 文 件 ， 之 后 退出 : 





$ docker run -it ubuntu:14.04 /bin/bash 
root@a925cb40b3f0:/# touch test 
root@a925cb40b3f0:/# exit 





记 住 容器 的 ID 为 a925cb40b3f0。 


此 时 该 容器 跟 原 ubuntu: 14.04 镜 像 相 比 ， 已 经 发 生 了 改变 ， 可 以 使 
commit 命 令 来 提交 为 一 个 新 的 镜像 。 提 交 时 可 以 使 用 ID 或 名 称 
来 指定 容器 : 





cker commit -m "Added a new file" -a "Docker Newbee" a925cb40b3f0 test:0.1 
9e9c814023bcffc3e67e892a235afe61b02F66a947d2747F724bd317ddae2Ff27 


顺利 的 话 ， 会 返回 新 创建 的 镜像 的 ID 信息 ， 例 如 
9e9c814023bcffc3e67e892a235afe61b02f66a947d2747f724bd317dda02f27 。 


此 时 碍 看 本 地 镜像 列表 ， 会 发 现 新 创建 的 镜像 已 经 存在 了 : 








$ docker images 
REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 
test 0.1 9e9c814023bc 4 seconds ago 188 MB 








2. 基 于 本 地 模板 导入 


用 户 也 可 以 直接 从 一 个 操作 系统 模板 文件 导入 一 个 镜像 ， 主 要 使 用 
docker ”import 命 令 。 命 令 格式 为 docker import[OPTIONS]file[URL|- 
[REPOSITORY[:TAG]]. 


要 直接 导入 一 个 镜像 ， 可 以 使 用 OpenVZ 提 供 的 模板 来 创建 ， 或 者 
用 其 他 已 导出 的 镜像 模板 来 创建 。OPENVZ 模 板 的 下 载 地 址 
为 http://openvz.org/Download/templates/precreated。 


例如 ， 下 载 了 ubuntu-14.04 的 模板 压缩 包 ， 之 后 使 用 以 下 命令 导 
入 : 





$ cat ubuntu-14.04-x86_64-minimal.tar.gz | docker import - ubuntu:14.04 





然后 查看 新 导入 的 镜像 ， 会 发 现 它 已 经 在 本 地 存在 了 : 





$ docker images 
REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 
ubuntu 14.04 05ac7c0b9383 17 seconds ag 215.5 MB 





3.6 ” 存 出 和 载 入 镜像 
用 户 可 以 使 用 docker save 和 docker 1l0ad 命 令 来 存 出 和 载 入 镜像 。 
1. 存 出 镜像 


如 果 要 导出 镜像 到 本 地 文件 ， 可 以 使 用 docker save 命 令 。 例 如 ， 导 
出 本 地 的 ubuntu: 14.04 镜 像 为 文件 ubuntu_14.04.tar， 如 下 所 示 : 


$ docker images 
REPOSITORY TAG 
ubuntu 


I CREATED VIRTUAL SIZE 
14.04 8f1bd21bd25c 2 weeks ago 188 MB 


$ docker save -o ubuntu_14.04.tar ubuntu:14.04 


之 后 ， 用 户 就 可 以 通过 复制 ubuntu_14.04.tar 文 件 将 该 镜像 分 享 给 他 


2. 载 入 镜像 


可 以 使 用 docker load 将 导出 的 tar 文 件 再 导入 到 本 地 镜像 库 ， 例 如 从 
文件 ubuntu_14.04tar 导 入 镜像 到 本 地 镜像 列表 ， 如 下 所 示 : 





$ docker load --input ubuntu_14.04.tar 


$ docker load < ubuntu_14.04.tar 





这 将 导入 镜像 及 其 相关 的 元 数据 信息 〈 包 括 标签 等 ) 。 导 入 成 功 
后 ， 可 以 使 用 docker images 命 令 进行 得 看 。 


3.7 ”上 传 镜像 


可 以 使 用 docker push 命 命令 上 传 镜像 到 仓库 ， 默 认 上 传 到 Docker Hub 
官方 仓库 (需要 登录 ) 。 命 令 格 式 为 : 





docker push NAME[:TAG] | [REGISTRY_HOST[:REGISTRY_PORT]/]NAME[:TAG] 





用 户 在 Docker Hub 网 站 注册 后 可 以 上 传 自制 的 镜像 。 例 如 用 户 user 
上 传 本 地 的 test: latest 镜 像 ， 可 以 先 添 加 新 的 标签 user/test latest， 然 后 
用 docker push 命 令 上 传 镜像 : 








$ docker tag test:latest user/test:latest 

$ docker push user/test: latest 

The push refers to a repository [docker.io/user/test] 
Sending image list 

Please login prior to push: 

Username: 

Password: 

Email: 





一 次 上 传 时 ， 会 提示 输入 登录 信息 或 进行 注册 。 


3.8 ”本章 小 结 


本 章 具 体 介 绍 了 围绕 Docker 镜 像 的 一 系列 重要 命令 操作 ， 包 括 获 
取 、 碍 看 、 搜 索 、 删 除 、 创 建 、 存 出 和 载 入 、 上 传 等 。 

镜像 是 使 用 Docker 的 前 提 ， 也 是 最 基本 的 资源 。 所 以 ， 在 平时 的 
Docker 使 用 中 ， 要 注意 积 囚 自己 定制 的 镜像 文件 ， 并 将 自己 创建 的 高 质 
量 镜像 分 享 到 社区 中 。 


在 后 续 章 节 ， 笔 者 将 介绍 更 多 对 镜像 进行 操作 的 场景 。 





第 4 章 ” 操作 Docker 容 器 


容器 是 Docker 的 另 一 个 核心 概念 。 简 单 来 说 ， 容 器 是 镜像 的 一 个 运 
行 实例 。 所 不 同 的 是 ， 镜 像 是 静态 的 只 读 文 件 ， 而 容器 带 有 运行 时 需要 
的 可 写 文 件 层 。 如 果 认 为 虚拟 机 是 模拟 运行 的 一 整套 操作 系统 包括 内 
核 、 应 用 运行 态 环 境 和 其 他 系统 环境 ) 和 跑 在 上 面 的 应 用 ， 那 么 Docker 
容器 就 是 独立 运行 的 一 个 《或 一 组 ) 应 用 ， 以 及 它们 必需 的 运行 环境 。 


本 章 将 具体 介绍 围绕 容器 的 重要 操作 ， 包 括 创 建 一 个 容器 、 局 动容 
A> 终止 一 个 容器 、 进入 容器 内 执行 操作 、 删 除 容器 和 通过 导入 导出 容 
融 来 实现 容器 迁移 等 。 

















4.1 创建 容器 

从 现在 开始 ， 瑟 掉 “ 腑 肿 ” 的 虚拟 机 吧 。 对 容器 进行 操作 束 跟 直接 操 
作 应 用 一 样 简 单 、 快 速 。Docker 容 器 实在 太 轻 量 级 了 ， 用 户 可 以 随时 创 
建 或 删除 容 塔 。 

1. 新 建 容 器 


可 以 使 用 docker create 命 令 新 建 一 个 容器 ， 例 如 : 





$ docker create -it ubuntu:latest 
af8f4f922dafee22c8fe6cd2ae11d16e25087d61f1bifa55b36e94db7ef 45178 
$ docker ps -a 

CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 
af8f4f922daf ubuntu:latest "/bin/bash" 17 seconds ago Created silly_euler 





使 用 docker create 命令 新 建 的 容器 处 于 停止 状态 ， 可 以 使 用 docker 
start 命 令 来 启动 它 。 

Create 命 令 和 后 续 的 run 命 令 支 持 的 选项 都 十 分 复杂 ， 主 要 包括 如 下 
几 大 类 : 与 容器 运行 模式 相关 、 与 容器 和 环境 配置 相关 、 与 容器 资源 限 
制 和 安全 保护 相关 ， 参 见 表 4-1、 表 4-2、 表 4-3。 


表 4-1 ”create 命 令 与 容器 运行 模式 相关 的 选项 





选 项 说 了 明 


-a, --attach=[] 是 否 绑 定 到 标准 输入 、 输 出 和 错误 

-d, --detach=true| false RAE etiam, MUNA 
--detach-keys="" 从 attach 模式 退出 的 快捷 刍 
--entrypoint="" 镜像 存在 人 口 命令 时 ， 覆 益 为 新 的 命令 
--expose=[] 指定 容器 会 暴露 出 来 的 端口 或 端口 范围 
--group-add=[] 运行 容器 的 用 户 组 

-i, --interactive=true|false| 保持 标准 输入 打开 ， 默 认为 false 
--ipc="" tie IPC 命名 空间 ， 可 以 为 其 他 容器 或 主机 
--isolation="default" 容器 使 用 的 隔离 机 制 


省 定 容器 的 日 志 了 驱动 类 型 ， 可 以 为 json-file、 syslog, journald， 


--log-driver="json-file" i 
gelf, fluentd, awslogs, splunk, etwlogs, gcplogs if none 


--log-opt=[] fei A EIRA ET 

mirida FEET RIERS, 包括 bridge、none、 其 他 容器 内 网 络 、host 的 
网 络 或 某 个 现 有 网 络 等 

--net-alias=[] 容器 在 网 络 中 的 别名 

-P，--publish-all=true|false| 通过 NAT 机 制 将 容器 标记 暴露 的 端口 自动 映射 到 本 地 主机 的 临时 端口 

-p, --publish=[] 指定 如 何 映射 到 本 地 主机 端口 ， 例 如 -p 11234-12234:1234-2234 

--pid=host 容器 的 PID 命名 空间 

--userns="" 启用 userns-remap 时 配置 用 户 命名 空间 的 模式 

--uts=host 容器 的 UTS 命名 空间 


容器 的 重启 策略 ， 包 括 no、on-failure[ :max=-retry] always, 


--restart="no" 
unless-stopped 等 


--rm=true| false 容 占 退出 后 是 否 自 动 删除 ， 不 能 跟 -d 同时 使 用 
-t, --tty=true|false 是 否 分 配 一 个 伪 终 端 ， 默 认为 false 
~-tmpfs=[] FE AIT SCE HN AA 

enn ee ] À s HREN 上 的 文件 疮 到 容 中 内 
--yolume-driver="" 挂 载 文 件 卷 的 驱动 类 型 
--Volumes-from= [] 从 其 他 容器 挂 载 卷 


-w, --workdir="" 容器 内 的 默认 工作 日 录 


表 4-2 

选 项 
--add-host=[] 
--device=[] 


--dns-search=[] 


选 项 
--dns-opt=[] 
--dns=[] 

-e, --env=[] 
--env-file=[] 

-h, --hostname="" 
--ip=m 

--ipo="" 
-~link=[<name or id>:alias] 
--mac-address="" 
--name="" 


表 4-3 create 命令 


create 命 令 与 容器 环境 和 配置 相关 的 选项 


说 朋 


在 容 佑 内 添加 一 个 主机 名 到 瑟 地 址 的 映 财 关系 通过 etc/hosts XA) 


映射 物理 机 上 的 设备 到 容 句 内 
DNS 扫 索 域 


it 朋 

自 定义 的 DNS 选项 

月 定义 的 DNS 服务 器 
指定 容 各 内 环境 变量 

从 文件 中 该 取 环境 变量 到 容器 内 

eA aN EBL 

指定 容器 的 JPv4 地 址 

指定 容 各 的 IPv6 地 址 





器 资源 限制 和 安全 保护 相关 的 选项 


选 项 
--blkio-weight=10~1000 


--blkio-weight-device= 


[DEVICE NAME: WEIGHT] 
--cpu-shares=0 
--cap-add=[] 
~-cap-drop=| | 
--cgroup-parent="" 
--cidfile="" 
--cpu-period=0 
--cpuset-cpus="" 
--cpuset-mems="" 
--cpu-quota=0 
--device-read-bps=[] 
--device-write-bps=[] 
--device-read-iops=[] 
~-device-write-iops=[] 
--kernel-memory="" 


-m, --memory="" 


--memory-reservation="" 


~-memory-swap="LIMIT" 


~-oom-kill-disable=true| false 


--oom-score-adj="" 


~-pids-limit="" 


--privileged=true| false 


说 明 
容器 读 写 块 设备 的 VO 性 能 权重 ， 默 认为 0 
指定 各 个 块 设备 的 VO 性 能 权重 


允许 容器 使 用 CPU 资源 的 相对 权重 ， 默 认 一 个 容器 能 用 满 一 个 核 的 CPU 
增加 容器 的 Linux 指定 安全 能 力 

移 除 容器 的 Linux 指定 安全 能 力 

容器 cgroups 限制 的 创建 路 径 

指定 容 回 的 进程 ID 号 写 到 文件 

限制 容器 在 CFS 调度 器 下 的 CPU 占用 时 间 片 

限制 容器 能 使 用 哪些 CPU 核心 

NUMA 架构 下 使 用 哪些 核心 的 内 存 

限制 容器 在 CES 调度 器 下 的 CPU 配额 

挂 载 设备 的 淡 看 吐 率 (以 bps 为 单位 ) 限制 

PEAR BLS YS FLAK (以 bps 为 单位 ) 限制 

挂 载 设 备 的 读 速 率 (以 每 秒 iio 次 数 为 单位 ) 限制 

挂 载 设 备 的 写 速率 (以 每 秒 iio 次 数 为 单位 ) 限制 

限制 容器 使 用 内 核 的 内 存 大 小 ， 单 位 可 以 是 b、k、m 或 8 

限制 容器 内 应用 使 用 的 内 不， 单位 可 以 是 b、k、m 或 g 

当 系统 中 内 存 过 低 时 ， 容 器 会 被 强制 限制 内 存 到 给 定 值 ， 默 认 情况 下 


等 于 内 存 限制 人 


限制 容器 使 用 内 存 和 交换 区 的 总 大 小 
TEES (Out-Of-Memory) 时 是 否 杀 死 容 器 
调整 容器 的 内 存 耗 尺 参数 


限制 容器 的 pid 个 数 
Je ARE Re EL, CREO EE ae LAD ASA Pil, A 
不 推荐 


(4) 


选 项 说 朋 
--read-only=true|false EAL ARAN AEA BF it 
--security-opt=[] 指定 一 些 安全 参数 ， 包 括 权限 、 安 全 能 力 、apparmor $ 
--stop-signal=SIGTERM 指定 停止 容器 的 系统 信号 
--shm-size="" Idev/shm 的 大 小 

是 否 代 理 收 到 的 信和 号 给 应 用 ， 默 认为 tue， 不 能 代理 SIGCHLD、 
--Sig-proxy=true|false 
SIGSTOP 和 SIGKILL 信号 
--memory-swappiness="0~100" | 调整 容器 的 内 存 交 换 区 参数 
-Wy "Uso" 指定 在 容器 内 执行 从 令 的 用 户 信息 
--ulimit=[] 通过 ulimit ARAIA, BAEN 


其 他 比较 重要 的 选项 还 包括 : 
-1]，--label=[]: 以 键 值 对 方式 指定 容器 的 标签 信息 ; 
--label-file=[]: 从 文件 中 读 取 标签 信息 。 

2. 局 动容 器 


使 用 docker start 命 令 来 启动 一 个 已 经 创建 的 容器 ， 例 如 启动 刚 创 建 
的 ubuntu 容 器 : 

















此 时 ， 通 过 docker ps 命令 可 以 查看 一 个 运行 中 的 容器 : 





docker ps 
CONTAINER ID pena COMMAND CREATED STATUS PORTS NAMES 
af8f4f922daf ubuntu:latest "/bin/bash" 2 minutes ago p 7 seconds silly_euler 





3. 新 建 并 启动 容器 

除了 创建 容器 后 通过 start 命 令 来 启动 ， 也 可 以 直接 新 建 并 启动 容 
器 。 所 需要 的 命令 主要 为 docker run， 等 价 于 先 执行 docker create 命 令 ， 
再 执行 docker start 命 令 。 


例如 ， 下 面 的 命令 输出 一 个 “Hello World”， 之 后 容器 自动 终止 : 





$ docker run ubuntu /bin/echo 'Hello world' 
Hello world 





这 跟 在 本 地 直接 执行 /bin/echo'hello world' 几 平 感觉 不 出 任何 区 别 。 


当 利 用 docker ”run 来 创建 并 启动 容器 时 ，Docker 在 后 台 运 行 的 标准 
操作 包括 : 


检查 本 地 是 否 存 在 指定 的 镜像 ， 不 存在 束 从 公有 仓库 下 载 ; 
利用 镜像 创建 一 个 容器 ， 并 局 动 该 容器 ; 


.分配 一 个 文件 系统 给 容器 ， 并 在 只 读 的 镜像 层 外 面 挂 载 一 层 可 读 
与 层 ; 


从 宿主 主机 配置 的 网 桥接 口中 桥接 一 个 虚拟 接口 到 容 莫 中 ; 
:从 网 桥 的 地 址 池 配 置 一 个 耳 地 址 给 容 需 ; 

-执行 用 户 指定 的 应 用 程序 ; 

执行 完毕 后 容器 被 自 动 终止 。 

下 面 的 命令 启动 一 个 bash 终 端 ， 人 允许 用 户 进 行 交 互 : 














$ docker run -it ubuntu:14.04 /bin/bash 
root@af8bae53bdd3:/# 





其 中 ，-t 选 项 让 Docker 分 配 一 个 伪 终 端 (pseudo-tty〉 并 绑 定 到 容器 
的 标准 输入 上 ，-i 则 让 容 占 的 标准 输入 保持 打开 。 更 多 的 命令 选项 可 以 


通过 man docker-run 命 令 来 查看 。 


在 交互 模式 下 ， 用 户 可 以 通过 所 创建 的 终端 来 输入 命令 ， 例 如 : 





root@af8bae53bdd3:/# pwd 


root@af8bae53bdd3:/# 1s 
bin boot dev etc home lib 1ib64 media mnt opt proc root run sbin srv sys tmp usr var 
el /# ps 
TIME CMD 
p ? 00:00:00 bash 
11 ? 00:00:00 ps 





在 容器 入 用 ps 命令 查看 进程 ， 可 以 看 到 ， 只 运行 了 bash 应 用 ， 并 没 
有 运行 其 他 无 关 的 进程 。 


用 户 可 以 按 Ctrl+d 或 输入 exit 命 令 来 退出 容器 : 





root@af8bae53bdd3:/# exit 
exit 





对 于 所 创建 的 bash 容 器 ， 当 使 用 exit 命 令 退 出 之 后 ， 容 器 就 自动 处 
于 退出 〈Exited) 状态 了 。 这 是 因为 对 Docker 容 吉 来 说 ， 当 运行 的 应 用 
退出 后 ， 容 器 也 就 没有 继续 运行 的 必要 了 。 


某 些 时 候 ， 执 行 docker ”run 会 出 错 ， 因 为 命令 无 法 正常 执行 容器 会 
直接 退出 ， 此 时 可 以 查看 退出 的 错误 代码 。 


默认 情况 下 ， 第 见 错误 代码 包括 : 


“125: Docker daemon 执 行 出 错 ， 例 如 指定 了 不 文 持 的 Docker 命 令 参 
数 ; 


126: 所 指定 命令 无 法 执行 ， 例 如 权限 出 错 ; 
127: Aas A AS TILAK 

命令 执行 后 出 错 ， 会 默认 返回 错误 码 。 

4. 守 护 态 运行 


更 多 的 时 候 ， 需 要 让 Docker 容 器 在 后 台 以 守护 态 (Daemonized) 形 
式 运 行 。 此 时 ， 可 以 通过 添加 -d 参 数 来 实现 。 


例如 下 面 的 命令 会 在 后 台 运行 容 嘱 : 





$ docker run -d ubuntu /bin/sh -c "while true; do echo hello world; sleep 1; done" 
ce554267d7a4c34eefc92c5517051dc37b918b588736d0823e4c846596b04d83 











容器 启动 后 会 返回 一 个 唯一 的 id， 也 可 以 通过 docker ps 命令 来 查看 
容器 信息 : 





$ docker ps 

CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 

ce554267d7a4_ ubuntu:latest "/bin/sh -c 'while t About a minute ago Up About 
a minute determined_pik 





此 时 ， 要 获取 容器 的 输出 信息 ， 可 以 如 下 使 用 docker logs 命 令 : 





$ docker logs ce5 
hello world 
hello world 
hello world 
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可 以 使 用 docker stop 来 终止 一 个 运行 中 的 容器 。 该 命令 的 格式 为 
docker stop[-tl--time[=10]][CONTAINER..]。 


首先 向 容器 发 送 SIGTERM 信 号 ， 等 待 一 段 超时 时 间 (默认 为 10 
秒 ) 后 ， 再 发 送 SIGKILL 信 和 号 来 终止 容器 : 





$ docker stop ce5 
ce5 








i 





docker kill 命 令 会 直接 发 送 SIGKILL 信 号 来 强行 终止 容器 

此 外 ， 当 Docker 容 器 中 指定 的 应 用 终结 时 ， 容 器 也 会 自动 终止 。 例 
如 对 于 上 一 节 中 只 启动 了 一 个 终端 的 容器 ， 用 户 通 过 exit 命 令 或 Ctrl+d 来 
退出 终端 时 ， 所 创建 的 容器 立刻 终止 ， 处 于 stopped 状 态 。 


可 以 用 docker ps-qa 命 令 看 到 所 有 容器 的 ID。 例 如 : 





$ docker ps -qa 
ce554267d7a4 
d58050081fe3 
e812617b41f6 





处 于 终止 状态 的 容器 ， 可 以 通过 docker start 命 令 来 重新 启动 : 





in docker start ce5 


s docket s 

CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 

ce554267d7a4 ubuntu:latest "/bin/sh -c 'while t 4 minutes ago Up 5 seconds 
determined_pike 





此 外 ，docker restart 命 令 会 将 一 个 运行 态 的 容器 先 终止 ， 然 后 再 重 
新 启动 它 : 





$ docker restart ce5 

ce5 

$ docker ps 

CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 

ce554267d7a4 ubuntu:latest "/bin/sh -c 'while t 5 minutes ago Up 14 seconds 
determined_pike 


, a | 


4.3 BAR at 


在 使 用 -d 参 数 时 ， 容 器 局 动 后 会 进入 后 人 台 ， 用 户 无 法 看 到 容器 中 的 
信息 ， 也 无 法 进行 操作 。 


这 个 时 候 如 果 需 要 进入 容器 进行 操作 ， 有 多 种 方法 ， 包 括 使 用 官方 
的 attach 或 exec 命 令 ， 以 及 第 三 方 的 nsenter 工 具 等 。 下 面 分 别 介绍 一 下 。 





1.attach 命 令 


attach 是 Docker 上 自 带 的 命令 ， 命 令 格式 为 : 





docker attach [--detach-keys[=[]]] [--no-stdin] [--sig-proxy[=true]] CONTAINER 





支持 二 个 主要 选项 ; 


---detach-keys[=[]]: 指定 退出 attach 模 式 的 快捷 键 序列 ， 默 认 是 
CTRL-p CTRL-q; 


---no-stdin=true|false: 是 人 否 关 闭 标准 输入 ， 默 认 是 保持 打开 ; 


---sig-proxy=true|false: 是 售 代 理 收 到 的 系统 信号 给 应 用 进程 ， 默 认 
为 true。 


下 面 示 例如 何 使 用 该 命令 





$ docker run -itd ubuntu 
243c32535da7d142fb0e6df616a3c3ada0b8ab417937c853a9e1c251f499f550 


$ docker ps 
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 
243c32535da7 a latest "/bin/bash" 18 seconds ago Up 17 seconds 


nostalgic_hypati 
$ docker attach [is hypatia 
root@243c32535da7: /# 





但 是 使 用 attach 命 令 有 时 候 并 不 方便 。 当 多 个 窗 H Rees = 
连 到 同一 个 容器 的 时 候 ， 所 有 窗口 都 会 同步 显示 。 当 某 个 窗口 因 命令 阻 
塞 时 ， 其 他 窗口 也 无 法 执行 操作 了 ， 





2.exec 命 令 


Docker 从 1.3.0 版 本 起 提供 了 一 个 更 加 方便 的 exec 命 令 ， 可 以 在 容 右 
内 直接 执行 任意 命令 。 访 命令 的 基本 格式 为 : 








docker exec [-d|--detach] [--detach-keys[=[]]] [-il|--interactive] [--privileged] 
[-t|--tty] [-u]--user[=USER]] CONTAINER COMMAND LARG. . ita 





比较 重要 的 参数 有 : 


--i, --interactive=true|false: 打开 标准 输入 接受 用 户 输入 命令 ， 默 认 
为 false; 


--privileged=truelfalse: 是 人 否 给 执行 命令 以 高 权限 ， 默 认为 false; 
‘-t, --tty=true|false: 分 配 仿 终端 ， 默 认为 false; 

u, --user="": 执行 命令 的 用 户 名 或 ID。 

例如 进入 到 刚 创 建 的 容器 中 ， 并 启动 一 个 bash: 





$ docker exec -it 243c32535da7 /bin/bash 
ee ider ec caet /# 





可 以 看 到 ， 一 个 bash 终 端 打开 了 ， 在 不 影响 容器 内 其 他 应 用 的 前 提 
下 ， 用 户 可 以 很 容易 与 容器 进行 交互 。 
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通过 指 定 -it 参数 来 保持 标准 输入 打开 ， 并 且 分 配 一 个 伪 终 端 。 通 过 
exec 命 令 对 容器 执行 操作 是 最 为 推荐 的 方式 。 


3.nsenter 工具 


在 util- linux 软 件 包 版 本 2. 23+ 中 包含 nsenter 工 具 。 如 果 系 统 中 的 util- 
linux 包 没有 该 命令 ， 可 以 按照 下 面 的 方法 从 源码 安装 : 





$ cd /tmp; curl https://www.kernel.org/pub/linux/utils/util-linux/v2.24/util- 
linux-2.24.tar.gz | tar -zxf-; cd util-linux-2.24; 

$ ./configure --without-ncurses 

$ make nsenter && cp nsenter /usr/local/bin 





为 了 使 用 nsenter 连 接 到 容器 ， 还 需要 找到 容器 进程 的 PID， 可 以 通 
过 下 面 的 命令 获取 : 





PID=$(docker inspect --format "{{ .State.Pid }}" <container>) 





通过 这 个 PID， 就 可 以 连接 到 这 个 容器 : 





$ nsenter --target $PID --mount --uts --ipc --net --pid 





下 面 给 出 一 个 完整 的 例子 ， 通 过 nsenter 命 令 进 入 容器 : 





$ docker run -idt ubuntu 

243c32535da7d142fb0e6df616a3c3ada0b8ab417937c853a9e1c251f499f550 

$ docker ps 

CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 

243c32535da7 ubuntu:latest "/bin/bash" 18 seconds ago Up 17 seconds 
nostalgic_hypatia 

$ PID=$(docker-pid 243c32535da7 ) 

10981 

$ nsenter --target 10981 --mount --uts --ipc --net --pid 

root@243c32535da7:/# 





进一步 可 在 容器 中 查看 用 户 和 进程 信息 : 





root@ce554267d7a4:/# w 
11:07:36 up 3:14, © users, load average: 0.00, 0.02, 0.05 


USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT 

root@ce554267d7a4:/# ps -ef 

UID PID PPID C STIME TTY TIME CMD 

root 1 © © 10:56 ? 00:00:00 /bin/sh -c while true; do echo hello 
world; sleep 1; done 

root 699 0 0 11:07 ? 00:00:00 /bin/bash 

root 716 1 0 11:07 ? 00:00:00 sleep 1 


root 717 699 © 11:07 ? 00:00:00 ps -ef 





4.4 MNRAS aS 

可 以 使 用 docker rm 命令 来 删除 处 于 终止 或 退出 状态 的 容器 ， 命 令 格 
式 为 docker rm[-f|--force][-l|--link][-v|-- 
volumes]JCONTAINER[CONTAINER...]. 

主要 支持 的 选项 包括 : 

--f, --force=false: 是 否 强 行 终止 并 删除 一 个 运行 中 的 容器 ; 

l, --link=false: 删除 容器 的 连接 ， 但 保留 容器 ; 

--v, --volumes=false: 删除 容器 挂 载 的 数据 卷 。 

例如 ， 查 看 处 于 终止 状态 的 容器 ， 并 删除 : 





$ docker ps -a 


CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS 
NAMES 

ce554267d7a4 ubuntu:latest "/bin/sh -c 'while t 3 minutes ago Exited 
(-1) 13 seconds ago determined_pike 

d58050081fe3 ubuntu: latest "/bin/bash" About an hour ago Exited (0) 
About an hour ago berserk_brattain 

e812617b41f6 ubuntu: latest "echo 'hello! I am h 2 hours ago 


Exited (0) 3 minutes ago 
$ docker rm ce554267d7a4 
ce554267d7a4 





默认 情况 下 ，docker rm 命令 只 能 删除 处 于 终止 或 退出 状态 的 容器 ， 
并 不 能 删除 还 处 于 运行 状态 的 容器 。 


如 果 要 直接 删除 一 个 运行 中 的 容器 ， 可 以 添加 -{ 参 数 。Docker 会 先 
及 送 SIGKILL 信 和 号 给 容器 ， 终 止 其 中 的 应 用 ， 之 后 强行 删除 ， 如 下 所 
ZN: 





$ docker run -d ubuntu:14.04 /bin/sh -c "while true; do echo hello world; 


; done 
2aed76caf8292c7da6d24c3c7f3a81a135af942ed1707a79F85955217d4dd594 
$ docker rm 2ae 
Error response from daemon: You cannot remove a running container. Stop the 
container before attempting removal or use -f 
2016/07/03 09:02:24 Error: failed to remove one or more containers 
$ docker rm -f 2ae 
2ae 
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东 些 时 候 ， 需 要 将 容 需 从 一 个 系统 迁移 到 另外 一 个 系统 ， 此 时 可 以 
0 
Tee 


1. 导 出 容器 

导出 容器 是 指导 出 一 个 已 经 创建 的 容器 到 一 个 文件 ， 不 管 此 时 这 个 
容器 是 否 处 于 运行 状态 ， 可 以 使 用 docker export 命 令 ， 该 命令 的 格式 为 
docker export[-o|--output[=""]]JCONTAINER。 其 中 ， 可 以 通过 -o 选 项 来 指 
定 导 出 的 tar 文 件 名 ， 也 可 以 直接 通过 重 定向 来 实现 。 


首先 查 看 所 有 的 容 希 ， 如 下 所 不: 

















$ docker ps -a 


CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 
ce554267d7a4 ubuntu: latest "/bin/sh -c ‘while t" 3 minutes ago 
Exited (-1) 13 seconds ago determined_pike 
d58050081fe3 ubuntu: latest "/bin/bash" About an hour ago 
Exited (0) About an hour ago berserk_brattain 
e812617b41f6 ubuntu:latest "echo 'hello! I am h" 2 hours ago 
Exited (0) 3 minutes ago silly_leakey 





分 别 导 出 ce554267d7a4 容 器 和 e812617b41f6 容 器 到 文件 
test_for_run.tar 文 件 和 test_for_stop.tar 文 件 : 





$ docker export -o test_for_run.tar ce5 
$ ls 


test_for_run.tar 
$ docker export e81 >test_for_stop.tar 


$ ls 
test_for_run.tar test_for_stop.tar 





之 后 ， 可 将 导出 的 tar 文 件 传输 到 其 他 机 器 上 ， 然 后 再 通过 导入 命令 
导入 到 系统 中 ， 从 而 实现 容器 的 迁移 。 


LFA 


| 导出 的 文件 又 可 以 使 用 docker import 命 令 导 入 变 成 镜像 ， 该 命令 格 


AJ: 





docker import [-c|--change[=[]]] [-m|--message[=MESSAGE]] file|URL| - [REPOSITORY 
[:TAG]] 


用 户 可 以 通过 -c，--change=[] 选 项 在 导入 的 同时 执行 对 容器 进行 修 
改 的 Dockerfile 指 令 “〈 可 参考 第 8 章 内 容 ) 。 


下 面 将 导出 的 test_for_ run.tar 文 件 导 入 到 系统 中 : 





r import test_for_run.tar - test/ubuntu:v1.0 


EPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 
st/ubuntu v1.0 9d37a6082e97 About a minute ago 171.3 MB 











之 前 镜像 章节 中 笔者 曾 介 绍 过 使 用 docker load 命 令 来 导入 一 个 镜像 
文件 ， 与 docker import 命 令 十 分 类 似 。 

实际 上 ， 既 可 以 使 用 docker load 命 令 来 导入 镜像 存储 文件 到 本 地 镜 
像 库 ， 也 可 以 使 用 docker ”import 命 令 来 导入 一 个 容器 快照 到 本 地 镜像 
库 。 





这 两 者 的 区 别 在 于 容 需 快照 文件 将 丢弃 所 有 的 历史 记录 和 元 数据 信 
轧 〈 即 仅 保存 容 需 当时 的 快照 状态 ) ， 而 镜像 存储 文件 将 保存 完整 记 
a 
数据 信息 。 
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容 右 是 下 接 提供 应 用 服务 的 组 件 ， 也 是 Docker 实 现 快速 局 停 和 高 效 
服务 性 能 的 基础 。 


通过 本 章 内 容 的 介 绍 和 示例 | 相信 读者 很 快 能 掌握 对 容 需 整个 生命 
周期 进行 管理 的 各 项 操作 命 命令 。 


在 生产 环境 中 ， 因 为 容器 自身 的 轻 量 级 特性 ， 笔 者 推荐 使 用 容器 时 
在 一 组 容器 前 引入 HA (High Availability, tE) 机 制 。 例 如 使 用 
HAProxy 工 具 来 代理 容器 访问 ， 这 样 在 容器 出 现 故 障 时 ， 可 以 快速 切换 
到 功能 正常 的 容器 。 此 外 ， 建 议 通 过 指定 合适 的 容器 重启 策略 ， 来 自动 
重启 退出 的 容器 。 





第 5 音 ” 访问 Docker 仓 库 


仓库 Repository) 是 集中 存放 镜像 的 地 方 ， 分 公共 仓库 和 私有 仓 
库 。 一 个 容易 与 之 混 消 的 概念 是 注册 服务 器 《Registry) 。 实 际 上 注册 
服务 器 是 存放 仓库 的 具体 服务 器 ， 一 个 注册 服务 器 上 可 以 有 多 个 仓库 ， 
而 每 个 仓库 下 面 可 以 有 多 个 镜像 。 从 这 方面 来 说 ， 可 将 仓库 看 做 一 个 具 
体 的 项 目 或 目录 。 例 如 对 于 仓库 地 址 private-docker.com/ubuntu 来 说 ， 
private-docker.com 是 注册 服务 器 地 址 ，ubuntu 是 仓库 名 。 


本 章 将 介绍 如 何 使 用 Docker Hub 官 方 仓库 ， 包 括 登 录 、 下 载 等 基本 
操作 ， 以 及 如 何 使 用 国内 社区 提供 的 仓库 ， 最 后 介绍 创建 和 使 用 私有 仓 
库 的 基本 操作 。 








5.1 Docker Hub 公 共和 镜像 市 场 


目前 Docker 官 方 维护 了 一 个 公共 镜像 仓库 https://hub.docker.com， 其 
中 已 经 包括 超过 15000 的 镜像 。 大 部 分 镜像 需求 ， 都 可 以 通过 在 Docker 
Hub 中 直接 下 载 镜像 来 实现 ， 如 图 5-1 所 示 。 

LEK 

可 以 通过 命令 行 执行 docker login 命 令 来 输入 用 户 名 、 密 人 码 和 邮箱 来 
完成 注册 和 登录 。 注 册 成 功 后 ， 本 地 用 户 目 录 的 .dockercfg 中 将 保存 用 
户 的 认证 信息 。 

登录 成 功 的 用 户 可 以 上 传 个 人 制造 的 镜像 。 

2. 基 本 操作 


用 户 无 需 登 录 即 可 通过 docker ”search 命 令 来 查找 官方 仓库 中 的 镜 
像 ， 并 利用 docker pull 命 令 来 将 它 下 载 到 本 地 。 








Explore Official Repositories 


nginx 
NGIAX official 





图 5-1 Docker Hub 是 最 大 的 公共 镜像 仓库 


在 搜寻 镜像 的 章节 ， 已 经 具体 介绍 了 如 何 使 用 docker pull 命 令 。 例 
如 以 centos 为 关键 词 进行 搜索 : 








$ docker search centos 
NAME 


DESCRIPTION STARS OFFICIAL AUTOMATED 
centos The official build of Centos. 2507 OK 
ansible/centos7-ansible Ansible on Centos7 82 [OK] 
jdeathe/centos-ssh CentOS-6 6.8 x86_64 / CentOS-7 7.2.1511 x8... 27 [OK] 
nimmis/java-centos This is docker images of CentOS 7 with dif... 13 [OK] 


millioni2/centos-supervisor Base CentOS-7 with supervisord launcher, h...12 [OK] 





根据 是 否 为 官方 提供 ， 可 将 这 些 镜像 资源 分 为 两 类 。 一 种 是 类 似 
centos 这 样 的 基础 镜像 ， 称 为 基础 或 根 镜像 。 这 些 镜像 是 由 Docker 公 司 
创建 、 验 证 、 支 持 、 提 供 。 这 样 的 镜像 往往 使 用 单个 单词 作为 名 字 。 


还 有 一 种 类 型 ， 比 如 ansible/centos7-ansible 镜 像 ， 它 是 由 Docker 用 
户 ansible 创 建 并 维护 的 ， 带 有 用 户 名 称 为 前 级 ， 表 明 是 某 用 户 下 的 某 仓 
‘i ? i: 以 通过 用 户 名 称 前 级 user_name/ 镜 像 名 来 指定 使 用 某 个 用 户 提 供 
NR o 


E 在 碍 找 的 时 候 通过 -s N 参 数 可 以 指定 仅 显 示 评 价 为 N 星 以 上 
和 镜像 。 








下 载 官方 centos 镜 像 到 本 地 ， 如 下 所 示 : 








用 户 也 可 以 在 登录 后 通过 docker push 命 令 来 将 本 地 镜像 推送 到 
Docker Hub 。 





提示 

Ansible 是 知名 自动 化 部 署 配置 管理 工具 。 

3. 自 动 创建 

自动 创建 (Automated Builds) 功能 对 于 需要 经 常 升级 镜像 内 程序 
来 说 ， 十 分 方便 。 有 时 候 ， 用 户 创 建 了 镜像 ， 安 逆 了 茶 个 软件 ， 如 果 软 
件 发 布 新 版 本 则 需要 手动 更 新 镜像 。 

而 自动 创建 允许 用 户 通 过 Docker Hub 指 定 跟踪 一 个 目标 网 站 (目前 


文 持 GitHub 或 BitBucket) 上 的 项 目 ， 一 旦 项 目 发 生 新 的 提交 ， 则 目 动 执 
行 创建 。 








有 要 配置 目 动 创 建 ， 包 括 如 下 的 步 又: 
1) 创建 并 登录 Docker Hub， 以 及 目标 网 站 ; * 在 目标 网 站 中 连接 帐 


户 到 Docker Hub; 


as 


2) 在 Docker Hub 中 配置 一 个 “自动 创建 ”: 

3) 选取 一 个 目标 网 站 中 的 项 目 〈 需 要 含 Dockerfile) 和 分 文 ; 

4) 指定 Dockerfile 的 位 置 ， 并 提交 创建 。 

之 后 ， 可 以 在 Docker ”Hub 的 “自动 创建 ”页 面 中 跟踪 每 次 创建 的 状 


5.2 时速 云 镜 像 市 场 
国内 不 少 云 服务 商都 提供 了 Docker 镜 像 市 场 ， 下 面 以 时 速 云 为 例 
( 见 图 5-2) ， 介 绍 如 何 使 用 这 些 市 场 。 
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汇票 国内 外 优秀 的 Docker 镜 像 





ô 
Build from Tutum, Base docker NodeeiifiNTAi, WENE Varnish 4x buld with Docker- 
Image touna MongoDB database Nodal, iNOW, 7 htps/blog codex op/?p= 1680 
nodes icoden/docker-vamish 
0 4804 OMN 4 
图 5-2” ”时速 云 镜像 市 场 


1. 查 看 镜像 


ORURAAR 


ATAR om | AA 


1 shanlinfeinlao/docker-mineoraft-server 


Q 428520 


2 codeha/orge 


访问 https://hub.tenxcloud.com， 即 可 看 到 已 存在 的 仓库 和 存储 的 镜 
像 ， 包 括 Ubuntu、Java、Mongo、MySQL、Nginx 等 热门 仓库 和 镜像 。 
时 速 云 官方 仓库 中 的 镜像 会 保持 跟 DockerHub 中 官方 镜像 的 同步 。 


以 MongoDB 仓 库 为 例 ， 其 中 包括 了 2.6、3.0 和 3.2 等 镜像 。 
2. 下 载 镜 像 
下 载 镜像 也 是 使 用 docker pull 命令， 但 是 要 在 镜像 名 称 前 添加 注册 
服务 器 的 具体 地 址 。 格 式 为 


index.tenxcloud.com/<namespace>/<repository>: <tag>. 


例如 ， 要 下 载 Docker 官 方 仓库 中 的 node: latest 镜 像 ， 可 以 使 用 如 下 


ne: 











2 





$ docker pull index.tenxcloud.com/docker_library/node: latest 





正常 情况 下 ， 镜 像 下 载 会 比 直接 从 DockerHub 下 载 快 得 多 。 
通过 docker images 命 令 来 查看 下 载 到 本 地 的 镜像 : 





$ docker images 
REPOSITORY TAG IMAGE ID CREATED SIZEindex.tenxcloud.com/docker_library/node latest 
e79fe57 4 leeks ago 660.7 MB 





下 载 后 ， 可 以 更 新 镜像 的 标签 ， 与 官方 标签 保持 一 致 ， 方 便 使 用 : 





$ docker tag index.tenxcloud.com/docker_library/node:latest node:latest 





另外 ， 阿 里 云 等 服务 商 也 已经 提供 了 Docker 镜 像 的 下 载 服务 ， 用 户 
可 以 根据 服务 质量 自行 选择 。 


除了 使 用 这 些 公共 镜像 服务 外 ， 还 可 以 搭建 本 地 的 私有 仓库 服务 
， 将 在 下 一 节 介 绍 。 


53 搭建 本 地 私有 仓库 
1. 使 用 registry 镜 像 创 建 私 有 仓库 


安装 Docker 后 ， 可 以 通过 官方 提供 的 registry 镜 像 来 简单 搭建 一 套 本 
地 私有 仓库 环境 : 





$ docker run -d -p 5000:5000 registry 





这 将 自动 下 载 并 启动 一 个 registry 容 器 ， 创 建 本 地 的 私有 仓库 服务 。 


默认 情况 下 ， 会 将 仓库 创建 在 容器 的 /tmp/registry 目 录 下 。 可 以 通 
过 -v 参 数 来 将 镜像 文件 存放 在 本 地 的 指定 路 径 。 


例如 下 面 的 例子 将 上 传 的 镜像 放 到 /opvdata/registry 目 录 : 





$ docker run -d -p 5000:5000 -v /opt/data/registry:/tmp/registry registry 





此 时 ， 在 本 地 将 局 动 一 个 私有 仓库 服务 ， 监 听 端 口 为 5000。 





2. 管 理 私有 仓库 

首先 在 本 书 环 境 的 笔记 本 上 (Linx Mint) 搭建 私有 仓库 ， 查 看 其 
地 址 为 10.0.2.2: 5000。 然 后 在 虚拟 机 系统 (Ubuntu 14.04) 里 测试 上 传 
和 下 载 镜像 。 


在 Ubuntu 14.04 系 统 查看 已 有 的 镜像 : 





$ docker images 
REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 
ubuntu 14.04 ba5877dc9bec 6 days ago 199.3 MB 





使 用 docker ”tag 命令 将 这 个 镜像 标记 为 10.0.2.2: 5000/test (ATLA 
docker tag IMAGE[: TAG][REGISTRYHOST/][USERNAME/]NAME|: 
TAG]) : 





$ docker tag ubuntu:14.04 10.0.2.2:5000/test 
$ docker images 


REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 
ubuntu 14.04 ba5877dc9bec 6 days ago 199.3 MB 
10.0.2.2:5000/test latest ba5877dc9bec 6 days ago 199.3 MB 





使 用 docker push 上 传 标记 的 镜像 : 





$ docker push 10.0.2.2:5000/test 

The push refers to a repository [10.0.2.2:5000/test] (len: 1) 

Sending image list 

Pushing repository 10.0.2.2:5000/test (1 tags) 

Image 511136ea3c5a already pushed, skipping 

Image 9bad880da3d2 already pushed, skipping 

Image 25f11f5fbOcb already pushed, skipping 

Image ebc34468f71d already pushed, skipping 

Image 2318d26665ef already pushed, skipping 

Image ba5877dc9bec already pushed, skipping 

Pushing tag for rev [ba5877dc9bec] 
{http://10.0.2.2:5000/v1/repositories/test/tags/latest} 
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用 curl 查 看 仓库 10.0.2.2: 5000 中 的 镜像 : 





$ curl http://10.0.2.2:5000/v1/search 
{"num_results": 1, "query": "", "results": [{"description": "", "name": "library/ 
test"}]} 





在 结果 中 可 以 看 到 {"description": "", "name": "library/test"}, PH 
镜像 已 经 成 功 上 传 了 。 现 在 可 以 到 任意 一 台 能 访问 到 10.0.2.2 地 址 的 机 
器 去 下 载 这 个 镜像 了 。 


比较 新 的 Docker 版 本 对 安全 性 要 求 较 高 ， 会 要 求 仓库 支持 SSL/TLS 
rene 内 部 使 用 的 私有 仓库 ， 可 以 自行 配置 证 书 或 关闭 对 仓库 的 安 


首先 ， 修 改 Docker daemon 的 启动 参数 ， 添 加 如 下 参数 ， 表 示 信 任 
这 个 私有 仓库 ， 不 进行 安全 证 书 检查 : 





DOCKER_OPTS="--insecure-registry 10.0.2.2:5000" 








之 后 重 局 Docker 服 务 ， 并 从 私有 仓库 中 下 载 镜 像 到 本 地 : 





$ sudo service docker restart 

$ docker pull 10.0.2.2:5000/test 

Pulling repository 10.0.2.2:5000/test 

ba5877dc9bec: Download complete 

511136ea3c5a: Download complete 

9bad880da3d2: Download complete 

25f11f5fbO@cb: Download complete 

ebc34468f71d: Download complete 

2318d26665ef: Download complete 

$ docker images 

REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 
10.0.2.2:5000/test latest ba5877dc9bec 6 days ago 199.3 MB 


Tm | 


下 载 后 ， 还 可 以 添加 一 个 更 通用 的 标签 ubuntu: 14.04: 





$ docker tag 10.0.2.2:5000/test ubuntu:14.04 





VY we 
VE Is 


如 果 要 使 用 安全 证 书 ， 用 户 也 可 以 从 较 知名 的 CA 服务 商 《〈 如 
verisign) 申请 公开 的 SSLATLS 证 书 ， 或 者 使 用 openssl 等 软件 来 自行 生 
成 。 


5.4 本 章 小 结 


仓库 概念 的 引入 ， 为 Docker 镜 像 文件 的 分 及 和 管理 提供 了 便捷 的 途 
径 。 本 章 介 绍 的 Docker Hub 和 时 速 云 镜像 市 场 两 个 公共 仓库 服务 ， 可 以 
方便 个 人 用 户 进行 镜像 的 下 载 和 使 用 等 操作 。 


在 企业 的 生产 环境 中 ， 则 往往 需要 使 用 私有 仓库 来 维护 内 部 镜像 。 
在 后 续 部 分 中 ， 将 介绍 私有 仓库 的 更 多 配置 选项 。 











第 6 章 Docker 数 据 管 理 


生产 环境 中 使 用 Docker 的 过 程 中 ， 往 往 需 要 对 数据 进行 持久 化 ， 或 
tee a a 





容器 中 管理 数据 主要 有 两 种 方式 : 

.数据 卷 (Data Volumes) : 容 右 内 数据 直接 映射 到 本 地 主机 环境 ，; 

:数据 卷 容器 (Data Volume Containers) : 使 用 特定 容器 维护 数据 
卷 。 

本 章 将 首先 介绍 如 何在 容器 内 创建 数据 卷 ， 并 且 把 本 地 的 目录 或 文 


件 挂 载 到 容器 内 的 数据 卷 中 。 接 下 来 ， 会 介绍 如 何 使 用 数据 卷 容 器 在 容 
需 和 主机 、 容 器 和 容 融 之 间 共 享 数据 ， 并 实现 数据 的 备份 和 恢复 。 


6.1 Ae 

数据 卷 是 一 个 可 供 容器 使 用 的 特殊 目录 ， 它 将 主机 操作 系统 目录 直 
接 映 射 进 容 器 ， 类 似 于 Linux 中 的 mount 操 作 。 

数据 卷 可 以 提供 很 多 有 用 的 特性 ， 如 下 所 示 : 

ee 
方便 ; 
a a a 
RTE $ 
.对 数据 卷 的 更 新 不 会 影响 镜像 ， 解 耦 了 应 用 和 数据 ; 
. 卷 会 一 直 存 在 ， 直 到 没有 容器 使 用 ， 可 以 安全 地 和 卸载 它 。 


1. 在 容器 内 创建 一 个 数据 疮 


在 用 docker run 命 令 的 时 候 ， 使 用 -v 标 记 可 以 在 容 旨 内 创建 一 个 数据 
卷 。 多 次 重复 使 用 -v 标 记 可 以 创建 多 个 数据 卷 。 


下 面 使 用 training/webapp 镜 像 创 建 一 个 web 容 器 ， 并 创建 一 个 数据 卷 
挂 载 到 容器 的 /webapp 目 录 : 


$ docker run -d -P --name web -v /webapp training/webapp python app.py 





注意 
-P 征 将 容器 服务 暴露 的 端口 ， 是 目 动 映射 到 本 地 主机 的 临时 端口 。 


2. 挂 载 一 个 主机 目录 作为 数据 卷 





使 用 -v 标 记 也 可 以 指定 挂 载 一 个 本 地 的 已 有 目录 到 容 顺 中 去 作为 数 
tes HEART IN) 。 


$ docker run -d -P --name web -v /src/webapp:/opt/webapp training/webapp python app.py 





上 面 的 命令 加 载 主机 的 /src/webapp 目 录 到 容器 的 /opt/webapp 目 录 。 


这 个 功能 在 进行 测试 的 时 候 十 分 方便 ， 比 如 用 户 可 以 将 一 些 程序 或 
数据 放 到 本 地 目录 中 ， 然 后 在 容器 内 运行 和 使 用 。 男 外 ， 本 地 目录 的 路 
径 必 须 是 绝对 路 径 ， 如 果 目 录 不 存在 Docker， 会 目 动 创建 。 


Docker 挂 载 数据 卷 的 默认 权限 是 读 写 (rw) ， 用 户 也 可 以 通过 ro 指 


定 为 只 读 : 


$ dock -v /src/webapp: /opt/webapp: ro 


er run -d -P --name web 
training/webapp python app.py 





加 了 : ro 之 后 ， 容 器 内 对 所 挂 载 数据 卷 内 的 数据 就 无 法 修改 了 。 
3. 挂 载 一 个 本 地 主机 文件 作为 数据 卷 


V 标 记 也 可 以 从 主机 挂 载 单个 文件 到 容器 中 作为 数据 苍 〈 不 推 
荐 ) 。 





$ docker run --rm -it -v ~/.bash_history:/.bash_history ubuntu /bin/bash 


这 样 就 可 以 记录 在 容器 输入 过 的 命令 历史 了 。 
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如 有 果 直 接 挂 载 一 个 文件 到 容器 ， 使 用 文件 编辑 工具 ， 包 括 Vvi 或 者 
sed--in-place 的 时 候 ， 可 能 会 造成 文件 inode 的 改变 ， 从 Docker 1.1.0 起 ， 
这 会 导致 报错 误 信 息 。 所 以 推荐 的 方式 是 直接 挂 载 文 件 所 在 的 目录 。 





6.2 ”数据 卷 容器 


如 采用 户 需要 在 多 个 容器 之 间 共 享 一 些 持续 更 新 的 数据 ， 节 简单 的 
方式 是 使 用 数据 卷 容 费 。 数 据 卷 容 右 也 是 一 个 容 右 ， 但 是 它 的 目的 是 专 
门 用 来 提供 数据 卷 供 其 他 容器 挂 载 。 


首先 ， 创 建 一 个 数据 卷 容 器 dbdata， 并 在 其 中 创建 一 个 数据 卷 挂 载 
到 /dbdata: 








$ docker run -it -v /dbdata --name dbdata ubuntu 
root@3ed94f279b6F : /# 





查看 /dbdata 目录 : 





root@3ed94f279b6f:/# 1s 
bin boot dbdata dev etc home lib 1ib64 media mnt opt proc root run 
sbin srv sys tmp usr var 





然后 ， 可 以 在 其 他 容器 中 使 用 --volumes-from 来 挂 载 dbdata 容 右 中 的 
数据 卷 ， 例如 创建 db1 和 db2 两 个 容器 ， 并 从 dbdata 容 器 挂 载 数据 卷 : 





$ docker run -it --volumes-from dbdata --name db1 ubuntu 
$ docker run -it --volumes-from dbdata --name db2 ubuntu 





此 时 ， 容 器 db1l1 和 db2 都 挂 载 同 一 个 数据 卷 到 相同 的 /dbdata 有 目录。 三 
个 容器 任何 一 方 在 该 日 录 下 的 写 入 ， 其 他 容器 都 可 以 看 到 。 


例如 ， 在 dbdata 容 器 中 创建 一 个 test 文 件 ， 如 下 所 未 : 








root@3ed94f279b6f:/# cd /dbdata 
root@3ed94f279b6f:/dbdata# touch test 
root@3ed94f279b6f :/dbdata# 1s 

test 





fEdb1 Att ABA É: 





$ docker run -it --volumes-from dbdata --name db1 ubuntu 

root@4128d2d804b4:/# 1s 

bin boot dbdata a etc home lib 1ib64 media mnt opt proc root run 
i sys mp usr var 

root@4128d2d804b4: a ls dbdata/ 





可 以 多 次 使 用 --volumes-from 参 数 来 从 多 个 容器 挂 载 多 个 数据 卷 。 
还 可 以 从 其 他 已 经 挂 载 了 7 容器 卷 的 容器 来 挂 载 数据 卷 。 


注意 


使 用 --volumes-from 参 数 所 挂 载 数据 卷 的 容器 目 号 并 不 需要 保持 在 


运行 状态 。 
如 果 删 除了 挂 载 的 容器 (包括 dbdata、db1 和 db2) ， 数 据 卷 并 不 会 
被 自动 删除 。 如 果 要 删除 一 个 数据 卷 ， 必 须 在 删除 最 后 一 个 还 挂 载 着 它 
的 容器 时 显 式 使 用 docker rm-v 命 令 来 指定 同时 删除 关联 的 容器 。 
使 用 数据 卷 容器 可 以 让 用 户 在 容器 之 间 自 由 地 升级 和 移动 数据 卷 。 
具体 的 操作 将 在 下 一 节 中 讲解 。 








6.3 ”利用 数据 郑 容 强 来 迁移 数据 


可 以 利用 数据 卷 容器 对 其 中 的 数据 卷 进行 备份 、 恢 复 ， 以 实现 数据 
的 迁移 。 下 面 介 绍 这 两 个 操作 。 


1. 备 份 
使 用 下 面 的 命令 来 备份 dbdata 数 据 卷 容器 内 的 数据 卷 : 





$d om dbdata -v $(pwd):/backup --name worker ubuntu tar 
a 


ocker run --volumes-fr 
cvf /backup/backup.tar /dbdat 





这 个 命令 稍微 有 点 复杂 ， 具 体 分 析 一 下 。 首 先 利 用 ubuntu 镜 像 创 建 
了 一 个 容器 worker。 使 用 --volumes-from dbdata 参 数 来 让 worker 容 器 挂 载 
dbdata 容 器 的 数据 卷 〈 即 dbdata 数 据 卷 ) ; 使 用 -v$(pwd):/backup 参 数 来 
挂 载 本 地 的 当前 目录 到 worker 容 器 的 /backup 目 录 。 


worker 容 器 启动 后 ， 使 用 了 tar cvf/backup/backup.tar/dbdatati 45k 
将 /dbdata 下 内 容 备 份 为 容器 内 的 /backup/backup.tar， 即 宿主 主机 当前 目 
录 下 的 backup.tar。 

2. 恢 复 


如 果 要 将 数据 恢复 到 一 个 容 堪 ， 可 以 按照 下 面 的 步骤 操作 。 首 先 创 
吝 一 个 带 有 数据 卷 的 容器 dbdata2: 














$ docker run -v /dbdata --name dbdata2 ubuntu /bin/bash 





然后 创建 另 一 个 新 的 容器 ， 挂 载 dbhdata2 的 容器 ， 并 使 用 untar 解 压 
备份 文件 到 所 挂 载 的 容器 卷 中 : 





$ docker run --volumes-from dbdata2 -v $(pwd):/backup busybox tar xvf 
/backup/backup. tar 





6.4 本 章 小 结 


数据 是 最 宝贵 的 资源 。Docker 在 设计 上 考虑 到 了 这 点， 为 数据 管理 
提供 了 充分 的 操作 支持 。 


本 章 介 绍 了 通过 数据 卷 和 数据 卷 容 髓 对 容 髓 内 数据 进行 共享、 备份 
和 恢复 等 操作 ， 通 过 这 些 机 制 ， 即 使 容 喜 在 运行 中 出 现 故 障 ， 用 户 也 不 
必 担 心 数据 发 生 丢失 ， 只 需要 快速 地 重新 创建 容 吉 即 可 。 


在 生产 环境 中 ， 笔 者 推荐 在 使 用 数据 卷 或 数据 卷 容器 之 外 ， 定 期 将 
主机 的 本 地 数据 进行 备份 ， 或 者 使 用 支持 容错 的 存储 系统 ， 包 括 RAID 
或 分 布 式 文件 系统 如 Ceph、GPFS、HDFS 等 。 








P7 vig ABR SA as BK 


通过 前 面 几 章 的 学 习 ， 相 信 读 者 已 经 党 握 了 单个 容器 的 管理 操作 。 
经 各 会 伴 到 需要 多 个 服务 组 件 容 圳 共同 协作 的 情况 ， 这 往往 
要 多 个 容器 之 间 有 人 能够 互相 访问 到 对 方 的 服务 。 


除了 通过 网 络 访问 外 ，Docker 还 提供 了 两 个 很 方便 的 功能 来 满足 服 
务 访问 的 基本 第 求 : 一 个 是 允许 映 冉 容器 内 应 用 的 服务 端口 到 本 地 答 主 
主机 ; E ee ee 和 过 容 需 名 来 快速 访问 。 本 章 
将 分 别 讲解 这 两 个 很 实用 的 功能 











7.1 交口 映射 实现 访问 容器 
1. 从 外 部 访问 容器 应 用 


在 启动 容器 的 时 候 ， 如 果 不 指定 对 应 的 参数 ， 在 容器 外 部 是 无 法 通 
过 网 络 来 访问 容器 内 的 网 络 应 用 和 服务 的 。 


SAA i Piz fy — Be a 2a we 要 让 外 部 访问 这 些 应 用 时 ， 可 以 通 
过 -P 或 -p 参 数 来 指定 端口 映射 。 当 使 用 -P《〈 大 写 的 ) 标记 时 ，Docker 会 
随机 映射 一 个 49000~49900 的 端口 到 内 部 容器 开放 的 网 络 端 口 : 





$ docker run -d -P training/webapp python app.py 


$ docker pe 
CONTAINER ID IMAGE COMMAND CREATED 
TUS PORTS NAMES 
bc533791f3f5 training/webapp:latest python app.py 5 seconds ago Up 2 seconds 
0.0.0.0:49155->5000/tcp nostalgic. 





此 时 ， 可 以 使 用 docker ps 看 到 ， 本 地 主机 的 49155 被 映射 到 了 容器 
se 访问 宿主 主机 的 49155 端 口 即 可 访问 容器 内 Web 应 用 提供 
J 界面 。 


同样 ， 可 以 通过 docker logs 命 令 来 查看 应 用 的 信息 : 








$ docker logs -f nostalgic morse 
Running on http://0.0.0.0:5000/ 
10.0.2.2 - - [23/May/2014 20:16:31] "GET / HTTP/1. 1" 200 
10.0.2.2 - - [23/May/2014 20:16:31] "GET /favicon.ico HTTP/1. 1" 404 - 





-p OSAD 可 以 指定 要 映射 的 端口 ， 并 且 ， 在 一 个 指定 端口 上 只 
可 以 绑 定 一 个 容器 。 支 持 的 格式 有 IP: HostPort: ContainerPort|IP: : 
ContainerPort|HostPort: ContainerPort. 


2. 映 射 所 有 接口 地 址 


使 用 HostPort: ContainerPort 格 式 将 本 地 的 5000 端 口 映 射 到 容器 的 
5000 端 口 ， 可 以 执行 : 





$ docker run -d -p 5000:5000 training/webapp python app.py 





此 时 默认 会 绑 定 本 地 所 有 接口 上 的 所 有 地 址 。 多 次 使 用 -p 标 记 可 以 
绑 定 多 个 端口 。 例 如 : 





$ docker run -d -p 5000:5000 -p 3000:80 training/webapp python app.py 





3. 映 射 到 指定 地 址 的 指定 端口 


可 以 使 用 IP: HostPort: ContainerPort 格 式 指定 映射 使 用 一 个 特定 地 
HE, 比如]ocalhost 地 址 127.0.0.1: 





$ docker run -d -p 127.0.0.1:5000:5000 training/webapp python app.py 





4. 映 射 到 指定 地 址 的 任意 端口 


使 用 IP: : ContainerPort 绑 定 localhost 的 任意 端口 到 容器 的 5000 端 
口 ， 本 地 主机 会 目 动 分 配 一 个 端口 : 





$ docker run -d -p 127.0.0.1::5000 training/webapp python app.py 





还 可 以 使 用 udp 标 记 来 指定 udp 端 口 : 





$ docker run -d -p 127.0.0.1:5000:5000/udp training/webapp python app.py 





5.2 A BRS ii FC 


使 用 docker portan S KEA “4 AUN i A, th DA A BIS 
定 的 地 址 : 





$ docker port nostalgic_morse 5000 
127.0.0.1:49155. 





VY. we 
VE 


容器 有 自己 的 内 部 网 络 和 了 地 址 ， 使 用 docker inspect+ 容 器 ID 可 以 
获取 容器 的 具体 信息 。 


7.2 互联 机 制 实 现 便捷 互 访 

容器 的 互联 inking) 是 一 种 让 多 个 容器 中 应 用 进行 快速 交互 的 方 
式 。 它 会 在 源 和 接收 容器 之 间 创 建 连接 关系 ， 接 收容 器 可 以 通过 容器 名 
快速 访问 到 源 容器 ， 而 不 用 指定 具体 的 IP 地 址 。 

1. 自 定义 容器 命名 


连接 系统 依据 容器 的 名 称 来 执行 。 因 此 ， 首 先 需 要 定义 一 个 好 记 的 
ABLE. 


HAA SBE Aas IN, AAAs aM Th TE A a 
名 字 有 两 个 好 处 : 


: 自 定义 的 命名 比较 好 记 ， 比 如 一 个 Web 应 用 容器 ， 我 们 可 以 给 它 
起 名 叫 web， 一 目 了 然 ; 


: 当 要 连接 其 他 容器 时 ， 即 便 重 局 ， 也 可 以 使 用 容器 名 而 不 用 改 
变 ， 比 如 连接 web 容 器 到 db 容器 。 


使 用 --name 标 记 可 以 为 容器 目 定义 命名 : 





$ docker run -d -P --name web training/webapp python app.py 





使 用 docker ps 来 验证 设 定 的 命名 : 





$ docker ps -1 

CONTAINER ID IMAGE COMMAND CREATED STATUS 
POR NAI 

aed84ee21bde training/webapp:latest python app.py 12 hours ago Up 2 secon ds 
0.0.0.0:49154->5000/tcp web 





也 可 以 使 用 docker inspect 来 得 看 容器 的 名 字 : 





$ docker inspect -f "{{ .Name }}" aed84ee21bde 
/web 





注意 


容器 的 名 称 是 唯一 的 。 如 果 已 经 命名 了 一 个 叫 web 的 容器 ， 当 你 要 
再 次 使 用 web 这 个 名 称 的 时 候 ， 需 要 先 用 docker mm 来 出 除 之 前 创建 的 同 
容器 。 


在 执行 docker run 的 时 候 如 果 添 加 --rm 标 记 ， 则 容器 在 终止 后 会 立刻 
删除 。 注 意 ，--rm 和 -d 参 数 不 能 同时 使 用 。 


2.448 AK 
使 用 --link 参 数 可 以 让 容器 之 间 安 全 地 进行 交互 。 
下 面 先 创建 一 个 新 的 数据 库容 器 : 





$ docker run -d --name db training/postgres 





删除 之 前 创建 的 web 容 器 : 





$ docker rm -f web 





然后 创建 一 个 新 的 web 容 器 ， 并 将 它 连 接 到 db 容 融 : 





$ docker run -d -P --name web --link db:db training/webapp python app.py 





此 时 ，db 容 器 和 web 容 器 建立 互联 关系 : 


--link 参 数 的 格式 为 --link name: alias， 其 中 name 是 要 连接 的 容器 名 
称 ，alias 是 这 个 连接 的 别名 。 


使 用 docker ps 来 得 看 容器 的 连接 ， 如 下 所 未: 





$ docker ps 
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 
349169744e49 training/postgres:latest su postgres -c '/usr About a minute 


ago Up About a minute 5432/tcp db, web/db 
see training/webapp: latest python app. py 16 hours ago Up 2 
utes 0.0.0.0:49154->5000/tcp web 








可 以 看 到 自 定义 命名 的 容器 ，db 和 web，db 容 器 的 names 列 有 db 也 
这 表示 web 容 器 连接 到 db 容 姻 ， 这 人 允许 web 容 器 访问 db 容器 
人 言 息 o 

Docker 相 当 于 在 两 个 互联 的 容器 之 间 创 建 了 一 个 虚 机 通道 ， 而 且 不 
用 映射 它们 的 端口 到 宿主 主机 上 。 在 启动 db 容器 的 时 候 并 没有 使 用 -p 和 - 
P 标 记 ， 从 而 避免 了 暴露 数据 库 服务 端口 到 外 部 网 络 上 。 

Docker 通 过 两 种 方式 为 容器 公开 连接 信息 : 

.更 新 环境 变量 ; 

:更 新 /etc/hosts 文 件 。 


使 用 env 命 令 来 租 看 web 容 器 的 环境 变量 : 





$ docker run --rm --name web2 --link db:db training/webapp env 


DB_NAME=/web2/db 
DB_PORT=tcp://172.17.0.5:5432 
DB_PORT_5000_TCP=tcp://172.17.0.5:5432 
DB_PORT_5000_TCP_PROTO=tcp 
DB_PORT_5000_TCP_PORT=5432 
DB_PORT_5000_TCP_ADDR=172.17.0.5 





其 中 DB _ 开头 的 环境 变量 是 供 web 容 器 连接 db 容器 使 用 的 ， 前 绥 采 
用 大 写 的 连接 别名 。 


除了 环境 变量 之 外 ，Docker 还 添加 host 信 息 到 父 容 右 的 /etc/hosts 文 
件 。 下 面 是 父 容器 web 的 hosts 文 件 : 





$ docker run -t -i --rm --link db:db training/webapp /bin/bash 
root@aed84ee21bde: /opt/webapp# cat /etc/hosts 
172.17.0.7 aed84ee21bde 


172.17.0.5 db 





i ， 第 一 个 是 web 容 器 ，web 容 器 用 自己 的 id 作为 
默认 主机 名 ， > re Me 可 以 在 web 容 器 中 安装 
ping 命 令 令 来 测试 与 b 容 器 的 连 





root@aed84ee21bde: /opt/webapp# apt-get install -yqq inetutils-ping 
root@aed84ee21bde: /opt/webapp# ping db 

PING db (172.17.0.5): 48 data bytes 

56 bytes from 172.17.0.5: icmp_seq=0 ttl=64 time=0.267 ms 

56 bytes from 172.17.0.5: icmp_seq=1 tt1=64 time=0.250 ms 

56 bytes from 172.17.0.5: icmp_seq=2 ttl=64 time=0.256 ms 





用 ping 来 测试 db 容器 ， 它 会 解析 成 172.17.0.5。 用 户 可 以 连接 多 个 子 
容器 到 父 容器 ， 比 如 可 以 连接 多 个 web 到 同一 个 db 容器 上 。 


7.3 本章 小 结 


坚 无 疑问 ， 容 器 服务 的 访问 是 很 关键 的 一 个 用 途 。 本 章 通 过 具体 案 
例 讲解 了 Docker 容 右 服 务 访问 的 两 大 基本 操作 ， 包 括 基础 的 容器 端口 映 
射 机 制 和 容器 互联 机 制 。 同 时 ，Docker 目 前 可 以 成 熟地 支持 Linux 系 统 
目 带 的 网 络 服 务 和 功能 ， 这 既 可 以 利用 现 有 成 熟 的 技术 提供 稳定 支持 ， 
又 可 以 实现 快速 的 高 性 能 转发 。 


在 生产 环境 中 ， 网 络 方面 的 需求 更 加 复杂 多 变 ， 包 括 跨 主 机 甚至 跨 
数据 中 心 的 通信 ， 这 时 候 往往 就 需要 引入 额外 的 机 制 ， 例 如 SDN EK 
定义 网 络 ) 或 NFV【〔 网 络 功能 虚拟 化 ) 的 相关 技术 。 


本 书 的 第 三 部 分 将 进一步 探讨 如 何 通 过 libnetwork 来 实现 跨 主 机 的 
容器 通信 ， 以 及 Docker 了 网 络 的 高 级 功能 和 配置 。 











第 8 章 ”使 用 Dockerfile 创 建 镜像 


Dockerfile 是 一 个 文本 格式 的 配置 文件 ， 用 户 可 以 使 用 Dockerfile 来 
快速 创建 目 定义 的 镜像 。 


本 章 首 先 介 绍 Dockerfile 典 型 的 基本 结构 和 它 支 持 的 众多 指令 ， 并 
具体 讲解 通过 这 些 指令 来 编写 定制 镜像 的 Dockerfile， 以 及 如 何 生成 镜 
像 。 最 后 介绍 使 用 Dockerfile 的 一 些 最 佳 实践 经 验 。 





8.1 基本 结构 
Dockerfile 由 一 行 行 命令 语句 组 成 ， 并 日 支持 以 # 了 开头 的 注释 行 。 


一 般 而 言 ，Dockerfile 分 为 四 部 分 ， 基础 镜像 信息 、 维 护 者 信息 、 
镜像 操作 指令 和 容器 启动 时 执行 指令 。 例 如 : 














# This Dockerfile uses the ubuntu image 

# VERSION 2 - EDITION 1 

# Author: docker_user 

# Command format: Instruction [arguments / command] .. 

# Base image to use, this must be set as the first line 

FROM ubuntu 

# Maintainer: docker_user <docker_user at email.com> (@docker_user ) 

MAINTAINER docker_user docker_user@email.com 

# Commands to update the image 

RUN echo "deb http://archive.ubuntu.com/ubuntu/ raring main universe" >> /etc/apt/ 
sources.list 

RUN apt-get update && apt-get install -y nginx 

RUN echo "\ndaemon off;" >> /etc/nginx/nginx.conf 

# Commands when creating a new container 

CMD /usr/sbin/nginx 








其 中 ， 一 开始 必须 指明 所 基于 的 镜像 名 称 ， 接 下 来 一 般 是 说 明 维护 
者 信息 。 后 面 则 是 镜像 操作 指令 ， 例 如 RUN 指 令 ，RUN 指 令 将 对 镜像 
执行 跟随 的 命令 。 ee ee 
交 。 最 后 是 CMD 指 令 ， 用 来 指定 运行 容器 时 的 操作 命 


下 面 是 Docker Hub 上 两 个 热门 镜像 的 Dockerfile 的 例子 ， 可 以 帮助 读 
者 对 Dockerfile 结 构 有 个 基本 的 认识 。 


第 一 个 例子 是 在 debian: jessie 基 础 镜像 基础 上 安装 Nginx 环 境 ， 从 
而 创建 一 个 新 的 nginx 镜 像 : 





FROM debian:jessie 
MAINTAINER NGINX Docker Maintainers "docker-maint@nginx.com" 
ENV NGINX_VERSION 1.10.1-1~jessie 
RUN apt-key adv --keyserver hkp://pgp.mit.edu:80 --recv-keys 573BFD6B3D8FBC64107 
QA6ABABF5BD827BD9BF62 \ 
&& echo "deb http://nginx.org/packages/debian/ jessie nginx" >> /etc/ 
apt/sources.list 
&& apt-get update \ 
&& apt-get install --no-install-recommends --no-install-suggests -y \ 
ca-certificates \ 
nginx=${NGINX_VERSION} \ 
nginx-module-xslt \ 
nginx-module-geoip \ 
nginx-module-image-filter \ 
nginx-module-perl \ 
nginx-module-njs \ 
gettext-base \ 
&& rm -rf /var/lib/apt/lists/* 
# forward request and error logs to docker log collector 
RUN ln -sf /dev/stdout /var/log/nginx/access.log \ 
&& In -sf /dev/stderr /var/log/nginx/error.log 
EXPOSE 80 443 
CMD ["nginx", "-g", "daemon off;"] 


一 | 


第 二 个 例子 是 基于 buildpack-deps: jessie-scm 基 础 镜像 ， 安 装 
Golang 相 关 环 境 ， 制 作 一 个 GO 语言 的 运行 环境 镜像 : 





FROM buildpack-deps: jessie-scm 
# gcc for cgo 
RUN apt-get update && apt-get install -y --no-install-recommends \ 
gt+ \ 
gcc \ 
libc6-dev \ 
make \ 
&& rm -rf /var/lib/apt/lists/* 
ENV GOLANG_VERSION 1.6.3 
ENV GOLANG_DOWNLOAD_URL https://golang.org/d1/go$GOLANG_VERSION. linux-amd64. tar.gz 
ENV GOLANG_DOWNLOAD_SHA256 cdde5e08530c0579255d6153b08fdb3b8e47caabbe717bc7bcd 
7561275a87aeb 
RUN curl -fsSL "$GOLANG_DOWNLOAD_URL" -o golang.tar.gz \ 
&& echo "$GOLANG_DOWNLOAD_SHA256 golang.tar.gz" | sha256sum -c - \ 
&& tar -C /usr/local -xzf golang.tar.gz \ 
&& rm golang.tar.gz 
ENV GOPATH /go 
ENV PATH $GOPATH/bin: /usr/local/go/bin: $PATH 
RUN mkdir -p "$GOPATH/src" "$GOPATH/bin" && chmod -R 777 "$GOPATH" 
WORKDIR $GOPATH 
COPY go-wrapper /usr/local/bin/ 





下 面 将 讲解 Dockerfile 中 各 种 指令 的 应 用 。 


8.2 ”指令 说 明 


§ 令 的 一 般 格式 为 INSTRUCTION ”arguments， 指 令 包 括 FROM、 
MAINTAINER、RUN 等 ， 参 见 表 8-1。 


表 8-1 Dockerfile 指 令 说 明 


4 说 有 
FROM 指定 所 创建 筑 像 的 基础 镜像 
MAINTAINER 指定 维护 者 信息 
RUN BIMA 
CMD En MARMURA 
LABEL 指定 生成 镜像 的 元 数据 标签 信息 
EXPOSE 再 明锐 像 肉 服务 所 监听 的 端口 
ENV 指定 环境 变量 
复制 指定 的 <sre> 路 径 下 的 内 容 到 容器 中 的 <dest> REF, <s> 可 以 为 URL ;如 果 为 
= ar Ltt, SHARES <test> MET 
= 复制 本 地 主机 的 <src> 路 径 下 的 内 容 到 镜像 中 的 <dest> 路 径 下 ， 一 般 情况 下 推荐 使 用 


COPY, 而 不 是 ADD 
ENTRYPOINT 指定 镜像 的 默认 入 吕 
VOLUME MERETE RE 
USER 指定 运行 容器 时 的 用 户 名 或 UID 


指 e 说 明 
NORKDIR 配置 工作 目录 
ARG 指定 镜像 内 使 用 的 参数 (例如 版 本 号 信息 等) 
ONBUILD 配置 当 所 创建 的 镜像 作为 其 他 镜像 的 基础 镜像 时 ， 所 执行 的 创建 操作 指令 
STOPSIGNAL 容器 退出 的 信号 舍 
HEALTHCHECK — | 如 何 进行 健康 检查 
SHELL 指定 使 用 Shell 时 的 默认 shell 类 型 
下 面 分 别 进行 介绍 。 
1.FROM 


指定 所 创建 镜像 的 基础 镜像 ， 如 果 本 地 不 存在 ， 则 默认 会 去 Docker 
Hub 下 载 指定 镜像 。 


格式 为 FROM<image>， 或 FROM<image>: <tag>， 或 
FROM<image>@<digest>. 


任何 Dockerfile 中 的 第 一 条 指令 必须 为 FROM 指令 。 并 且 ， 如 果 在 同 
一 个 Dockerfile 中 创建 多 个 镜像 ， 可 以 使 用 多 个 FROM 指令 〈 每 个 镜像 一 
次 ) 。 

2.MAINTAINER 


指定 维护 者 信息 ， 格 式 为 MAINTAINER<name>。 例 如 : 





MAINTAINER image_creator@docker.com 





该 信息 会 写 入 生成 镜像 的 Author 属 性 域 中 。 


3.RUN 


运行 指定 命令 。 


格式 为 RUN<command> 或 
RUN["executable"，"param1"，"param2"]。 注 意 ， 后 一 个 指令 会 被 解析 
为 Json 数 组 ， 因 此 必须 用 双 引 号 。 


前 者 默认 将 在 shell 终 端 中 运行 命令 ， 即 /bin/sh-c; 后 者 则 使 用 exec 
执行 ， 不 会 启动 shell 环 境 。 


指定 使 用 其 他 终端 类 型 可 以 通过 第 二 种 方式 实现 ， 例 如 
RUN["/bin/bash", "-c", "echo hello"]. 


每 条 RUN 指 令 将 在 当前 镜像 的 基础 上 执行 指定 命令 ， 并 提交 为 新 的 
镜像 。 当 命令 较 长 时 可 以 使 用 \ 来 换行 。 例 如 : 








RUN apt-get update \ 
& apt-get install -y libsnappy-dev zlibig-dev libbz2-dev \ 
& rm -rf /var/cache/apt 


h 





4.CMD 


P CMD 4a & HRH ERRAR AATAS. ESC RRS 
IN: 








:CMD["executable"，"param1"，"param2"] 使 用 exec 执 行 ， 是 推荐 使 
用 的 方式 ; 


‘CMD command param1 param2 在 /bin/sh 中 执行 ， 提 供给 需要 交互 的 
MH; 


-CMD["param1"，"param2"] 提 供给 ENTRYPOINT 的 默认 参数 。 


每 个 Dockerfile 只 能 有 一 条 CMD 命 令 。 如 果 指 定 了 多 条 命令 ， 只 有 
最 后 一 条 会 被 执行 。 


如 果 用 户 月 动容 器 时 手动 指定 了 运行 的 命令 〈 作 为 run 的 参数 ) ， 
则 会 覆盖 掉 CMD 指 定 的 命令 。 


o- LABEL 





LABEL 指 令 用 来 指定 生成 镜像 的 元 数据 标签 信息 。 
格式 为 LABEL<key>=<value><key>=<value><key>=<value>...。 
例如 : 





LABEL version="1.0" 
LABEL description="This text illustrates \ that label-values can span multiple lines. 





6.EXPOSE 

声明 镜像 内 服务 所 监听 的 端口 。 
格式 为 EXPOSE<port>[<port>.….]。 
例如 : 





EXPOSE 22 80 8443 





注意 ， 访 指令 只 是 起 到 声明 作用 ， 并 不 会 自动 完成 端口 映射 。 
在 启动 容器 时 需要 使 用 了 P，Docker 主 机 会 自动 分 配 一 个 宿主 机 的 临 
口 转发 到 指定 的 端口 ;使 用 p， 则 可 以 有 具体 指定 哪个 宿主 机 的 本 地 
端口 会 映射 过 来 。 


7.ENV 


指定 环境 变量 ， 在 镜像 生成 过 程 中 会 被 后 续 RUN 指 令 使 用 ， 在 镜像 
局 动 的 容 占 中 也 会 存在 。 


格式 为 ENV<key><value> 或 ENV<key>=<value>...。 
例如 : 





ENV PG_MAJOR 9.3 

ENV PG_VERSION 9 . 

RUN curl te hetp: Dani le com/postgres-$PG_VERSION.tar.xz | tar -xJC /usr/src/ 
postgre 5 

ENV PATH Juer/locat/postýres: -$PG_MAJOR/bin :$PATH 








指令 指定 的 环境 变量 在 运行 时 可 以 被 履 盖 掉 ， 如 docker run-- 


env<key>=<value>built_image. 

8.ADD 

该 命令 将 复制 指定 的 <src> 路 径 下 的 内 容 到 容器 中 的 <dest> 路 径 下 。 

格式 为 ADD<src><dest>。 

其 中 <src> 可 以 是 Dockerfile 所 在 目录 的 一 个 相对 路 径 〈 文 件 或 目 
K) ， 也 可 以 是 一 个 URL， 还 可 以 是 一 个 tar 文 件 〈 如 果 为 tar 文 件 ， 会 自 
动 解压 到 <dest> 路 径 下 ) 。<dest> 可 以 是 镜像 内 的 绝对 路 径 ， 或 者 相对 
于 工作 目录 CWORKDIR) 的 相对 路 径 。 


路 径 文 持 正则 格式 ， 例 如 : 


ADD *.c /code/ 


9.COPY 

格式 为 COPY<src><dest>。 

复制 本 地 主机 的 <src> 〈 为 Dockerfile 所 在 目录 的 相对 路 径 、 文 件 或 
下 的 内 容 到 镜像 中 的 <dest> 下 。 目 标 路 径 不 存在 时 ， 会 自动 创 

路 径 同样 文 持 正 则 格式 。 

当 使 用 本 地 目录 为 源 目录 时 ， 推 荐 使 用 COPY 。 

10.ENTRYPOINT 


指定 镜像 的 默认 入 口 命令 ， 该 入 口 命令 会 在 启动 容器 时 作为 根 命令 
执行 ， 所 有 传 入 值 作为 该 命令 的 参数 。 


文 持 两 种 格式 : 














ENTRYPOINT ["executable"，"param1"，"param2"] (exec 调 用 执行 ) ; 
ENTRYPOINT command param1 param2 (shell 中 执行 )。 


此 时 ，CMD 指 令 指定 值 将 作为 根 命令 的 参数 。 


每 个 Dockerfile 中 只 能 有 一 个 ENTRYPOINT， 当 指定 多 个 时 ， 只 有 
Ba THN 





在 运行 时 ， 可 以 被 --entrypoint 参 数 履 盖 掉 ， 如 docker run-- 
entrypoint。 
11.VOLUME 


创建 一 个 数据 卷 挂 载 点 。 
格式 为 VOLUME["/data"]。 


可 以 从 本 地 主机 或 其 他 容 需 挂 载 数据 卷 ， 一 般 用 来 存放 数据 库 和 需 
要 保存 的 数据 等 。 


12.USER 


指定 运行 容器 时 的 用 户 名 或 UID， 后 续 的 RUN 等 指令 也 会 使 用 指定 
的 用 户 身 份 。 


格式 为 USER daemon。 


当 服 务 不 怖 要 管理 员 权 限时 ， 可 以 通过 该 命令 指定 运行 用 户 ， 并 且 
可 以 在 之 前 创建 所 需要 的 用 户 。 例 如 : 





RUN groupadd -r postgres && useradd -r -g postgres postgres 





要 临时 获取 管理 员 权 限 可 以 使 用 gosu 或 sudo。 


13.WORKDIR 





为 后 续 的 RUN、CMD 和 ENTRYPOINT 指 令 配 置 工 作 目 录 。 





格式 为 WORKDIR/path/to/workdir。 


可 以 使 用 多 个 WORKDIR 指 令 ， 后 续 命 令 如 果 参 数 是 相对 路 径 ， 则 





会 基于 之 前 命令 指定 的 路 径 。 例 如 : 





WORKDIR /a 
WORKDIR b 
WORKDIR c 
RUN pwd 





则 最 终 路 径 为 /a/byc。 
14.ARG 


指定 一 些 镜像 内 使 用 的 参数 例如 版 本 写 信息 等 ) ， 这 些 参数 在 执 
行 docker build 命 令 时 才 以 --build-arg<varname>= <value> 格 式 传 入 。 





格式 为 ARG<name>[=<default value>]。 
则 可 以 用 docker build--build-arg<name>=<value>. 来 指定 参数 值 。 
15.0NBUILD 


人 所 执行 的 创建 操 
Ao 


格式 为 ONBUILD[INSTRUCTION]。 


例如 ，Dockerfile 使 用 如 下 的 内 容 创建 了 镜像 image-A: 





[...] 

ONBUILD ADD . /app/s 

ONBUILD RUN /usr/loca. al/bi in/python-build --dir /app/src 
‘] 





如 果 基 于 image-A 创 建新 的 镜像 时 ， 新 的 Dockerfile 中 使 用 FROM 
image-A 指 定 基 础 镜像 ， 会 目 动 执行 ONBUILD 指 令 的 内 容 ， 等 价 于 在 后 
面 添 加 了 两 条 指令 : 








FROM image 

#Automati ically run the following 
ADD . /app/sr 

N /u Sry local/bi in/python-build --dir /app/src 





使 用 ONBUILD 指 令 的 镜像 ， 推 荐 在 标签 中 注 明 ， 例 如 ruby: 1.9- 
onbuild. 


16.STOPSIGNAL 
指定 所 创建 镜像 启动 的 容器 接收 退出 的 信号 值 。 例 如 : 








STOPSIGNAL signal 





17.HEALTHCHECK 


配置 所 启动 容器 如 何 进 行 健康 检查 (如 何 判 断 健 康 与 否 )， 自 
Docker 1.12 开 始 支 持 。 


格式 有 两 种 : 








HEALTHCHECK [OPTIONS] CMD command: 根据 所 执行 命令 返回 值 是 否 为 6 来 判断 





-HEALTHCHECK[OPTIONS]CMD command: 根据 所 执行 命令 返回 
值 是 否 为 0 来 判断 ; 


HEALTHCHECK NONE: 禁止 基础 镜像 中 的 健康 检查 。 

OPTION 支 持 : 

---interval=DURATION “默认 为 : 30s) : 过 多 久 检 查 一 次 ; 
每 次 


---timeout=DURATION (默认 为 ，30s) : 
EN 


-—-retries=N 〈 默 认为 : 3): 如 果 失 败 了 ， 重 试 几 次 才 最 终 确 定 失 
败 。 


18.SHELL 
指定 其 他 命令 使 用 shell 时 的 默认 shell 类 型 。 
默认 值 为 ["/bin/sh"，"-c"]。 





vu awe 
YES 


对 于 Windows 系 统 ， 建 议 在 Dockerfile 开 头 添 加 #escape=` 来 指定 转 义 
=e 


Huw 


8.3 创建 镜像 
编写 完成 Dockerfile 之 后 ， 可 以 通过 docker build 命 令 来 创建 镜像 。 
基本 的 格式 为 docker build[ 选 项 ] 内 容 路 径 ， 访 命令 将 读 取 指定 路 径 
下 “包括 子 目录 ) 的 Dockerfile， 并 将 该 路 径 下 的 所 有 内 容 发 送 给 


Docker 服 务 端 ， 由 服务 端 来 创建 镜像 。 因 此 除非 生成 镜像 需要 ， 人 否则 一 
般 建 议 放 置 Dockerfile 的 目录 为 空 目 录 。 有 两 点 经 验 : 


.如 果 使 用 非 内 容 路 径 下 的 Dockerfile， 可 以 通过 -{f 选 项 来 指定 其 路 











4B 
要 指定 生成 镜像 的 标签 信息 ， 可 以 使 用 -t 选 项 。 


例如 ， 指 定 Dockerfile 所 在 路 径 为 /tmp/docker_ builder/, ， 并 且 和 希望 生 
成 镜像 标签 为 build_repo/first_image， 可 以 使 用 下 面 的 命令 : 





$ docker build -t build_repo/first_image /tmp/docker_builder/ 





8.4 使 用 .dockerignore 文 件 


可 以 通过 .dockerignore 文 件 〈 每 一 行 添加 一 条 匹配 模式 ) 来 让 
Docker 忽 略 匹配 模式 路 径 下 的 目录 和 文件 。 例 如 : 





# comment 





8.5 MEXR 


所 谓 最 佳 实 践 ， 实 际 上 是 从 需求 出 及 ， 来 定制 适合 自己 、 高 效 方便 
的 镜像 。 


首先 ， 要 尽量 吃透 每 个 指令 的 含义 和 执行 效果 ， 目 己 多 编写 一 些 简 
单 的 例子 进行 测试 ， 弄 清楚 了 再 撰写 正式 的 Dockerfile。 此 外 ，PDocker 
Hub 官 方 仓库 中 提供 了 大 量 的 优秀 镜像 和 对 应 的 Dockefile， 可 以 通过 阅 
读 它 们 来 学 习 如 何 撰写 高 效 的 Dockerfile。 


笔者 在 应 用 过 程 中 也 总 结 了 一 些 实践 经 验 。 建 议 读者 在 生成 镜像 过 
程 中 ， 答 试 从 如 下 角度 进行 思考 ， 完 善 所 生成 的 镜像 。 


精简 镜像 用 途 : 尽量 让 每 个 镜像 的 用 途 都 比较 集中 、 单 一 ， 避 免 
构造 大 而 复杂 、 多 功能 的 镜像 ; 


选用 合适 的 基础 镜像 : 过 大 的 基础 镜像 会 造成 生成 及 和 肿 的 镜像 ， 
一 般 推荐 较为 小 巧 的 debian 镜 像 ; 


.提供 足够 清晰 的 命令 注释 和 维护 者 信息 : Dockerfile 也 是 一 种 代 
码 ， 需 要 考虑 方便 后 续 扩 展 和 他 人 使 用 ; 


正确 使 用 版 本 号 : 使 用 明确 的 版 本 号 信息 ， 如 1.0，2.0， 而 非 
latest， 将 避免 内 容 不 一 致 可 能 引发 的 惨案 ; 


:减少 镜像 层 数 : 如 果 希 望 所 生成 镜像 的 层 数 尽量 少 ， 则 要 尽量 合 
并 指令 ， 例 如 多 个 RUN 指 令 可 以 合并 为 一 条 ; 


:及 时 删除 临时 文件 和 缓存 文 件 : 特别 是 在 执行 apt-get 指 令 
后 ，/varcache/apt 下 面 会 缓存 一 些 安装 包 ; 


提高 生成 速度 : 如 合理 使 用 缓存 ， 减 少 内 容 目录 下 的 文件 ， 或 使 
用 .dockerignore 文 件 指定 等 ; 


.调整 合理 的 指令 顺序 :在 开启 缓存 的 情况 下 ， 内 容 不 变 的 指令 尽 
量 放 在 前 面 ， 这 样 可 以 尽量 复 用 ; 








-减少 外 部 源 的 干扰 : 如 果 确 实 要 从 外 部 引入 数据 ， 需 要 指定 持久 
的 地 址 ， 并 带 有 版 本 信息 ， 让 他 人 可 以 重复 而 不 出 错 。 





8.6 ”本 章 小 结 


本 章 主 要 介绍 了 围绕 Dockerfile 文 件 构 建 镜像 的 过 程 ， 包 括 
Dockerfile 的 基本 结构 、 所 支持 的 内 部 指令 ， 使 用 它 创建 镜像 的 基本 过 
程 ， 以 及 合理 构建 镜像 的 最 佳 实践 。 在 使 用 Dockerfile 构 建 镜像 的 过 程 
中 ， 读 者 会 体会 到 Docker“ 一 点 修改 代 蔡 大 量 更 新 ”的 灵活 之 处 。 


当然 ， 编 写 一 个 高 质量 的 Dockerfile 并 不 是 一 件 容 易 的 事情 ， 需 要 
一 定时 间 的 学 习 和 实践 。 在 本 书 的 第 二 部 分 中 ， 笔 者 也 给 出 了 大 量 热门 
镜像 的 Dockerfile， 供 大 家 学 习 参 考 。 








第 二 部 分 “实战 案例 
-第 9 章 ”操作 系统 
第 10 半 ”为 镜像 添加 SSH 服 务 
第 11 章 ”Web 服务 与 应 用 
第 12 章 ”数据 库 应 用 
:第 13 章 ”分布 式 处 理 与 大 数据 平台 
-第 14 革 ”编程 开发 


第 15 章 ”容器 与 云 服务 





.第 16 章 ”容器 实战 思考 
实战 ， 是 检验 技术 的 唯一 标准 。 


通过 第 一 部 分 的 学 习 ， 相 信 读 者 已 经 掌握 了 Docker 的 核心 概念 和 常 
用 操作 。 在 这 一 部 分 中 笔者 将 展示 大 量 的 容 费 化 应 用 案例 ， 更 加 深入 地 
展示 容器 撤 术 如 何在 生产 环境 中 进行 应 用 。 


第 9 章 将 介绍 通过 Docker 来 运行 典型 的 操作 系统 环境 ， 包 括 
BusyBox、Alpine、Debian/Ubuntu、CentOS/Fedora 等 。 


第 10 半 将 介绍 如 何 为 一 个 镜像 添加 SSH 服 务 的 支持 ， 以 及 探讨 访问 
容 需 内 部 的 合理 方案 。 


第 11 章 将 介绍 利用 Docker 来 提供 典型 的 Web 服 务 ， 包 括 Apache、 
Nginx、Tomcat、Jetty、LAMP、CMS 等 流行 的 Web 工 具 ， 以 及 持续 开 
R5PRN LA. 


第 12 章 将 通过 MySQL、MongoDB、Redis、Memcached、 
CouchDB、Cassandra 等 数据 库 的 典型 例子 ， 展 示 在 容器 中 搭建 和 配置 常 
见 的 SQL 和 NoSQL 数 据 库 软件 。 














第 13 章 将 介绍 分 布 式 处 理 和 大 数据 平台 ， 包 括 消 息 队 列 代 表 
RabbitMQ、 分 布 式 任务 处 理 Celery、 大 数据 平台 Hadoop、Spark、 
Storm、 Elasticsearch 等 。 


第 14 章 将 介绍 流行 的 编程 语言 ， 包 括 C/C++、Java、PHP、Python、 
Perl、Ruby、Node.js/JavaScript、Go 等 语言 ， 以 及 如 何 用 Docker 来 快速 
构建 相应 的 编程 开发 环境 。 


接 下 来 ， 在 第 15 间 将 介绍 支持 容器 拉 术 的 公有 云 服 务 和 容器 云 平 


op 
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通过 第 二 部 分 的 实战 案例 学 习 ， 读 者 将 可 以 更 好 地 掌握 容器 技术 ， 
并 在 工作 中 更 加 高 效 地 使 用 Docker。 





HIE ”操作 系统 


目前 常用 的 Linux 发 行 版 主要 包括 Debian/Ubuntu 系 列 和 
CentOS/Fedora 系 列 。 前 者 以 目 带 软件 包 版 本 较 新 而 出 名 ; 后 者 则 宣称 
运行 更 稳定 一 些 。 选 择 哪个 操作 系统 取决 于 读者 的 具体 需求 。 同 时 ， 社 
区 还 推出 了 完全 基于 Docker 的 Linux 发 行 版 CoreOS。 

使 用 Docker， 只 需要 一 个 命令 就 能 快速 获取 一 个 Linux 发 行 版 镜 
像 ， 这 是 以 往 包 括 各 种 虚拟 化 技术 都 难以 实现 的 。 这 些 镜像 一 般 都 很 精 
简 ， 但 是 可 以 支持 完整 Linux 系 统 的 大 部 分 功能 。 


本 章 将 介绍 如 何 使 用 Docker 安 装 和 使 用 BusyBox、Alphine、 
Debian/Ubuntu、CentOS/Fedora 等 操作 系统 。 





9.1 BusyBox 


BusyBox 是 一 个 集成 了 一 百 多 个 最 常用 Linux 命 令 和 工具 《如 cat、 
echo. grep, mount, telnet) 的 精简 工具 箱 ， 它 只 有 几 MB 的 大 小 ， 很 
方便 进行 各 种 快速 验证 ， 被 誉 为 “Linux 系 统 的 瑞士 军刀 ”。BusyBox 可 运 
行 于 多 球 POSIX 环 境 的 操作 系统 中 ， 如 Linux〔 包 括 Android) ~ Hurd, 
FreeBSD 等 。 








在 Docker Hub 中 搜索 busybox 相 关 的 镜像 : 





$ docker search busybox 


NAME DESCRIPTION STARS OFFICIAL AUTOMATED 
busybox Busybox base image. 755 [OK] 
progrium/busybox 63 [OK] 
radial/busyboxplus Full-chain, Internet enabled, busybox made... 11 [OK] 
odise/busybox-python 3 [OK] 
multiarch/busybox multiarch ports of ubuntu-debootstrap 2 [OK] 


azukiapp/busybox This image is meant to be used as the base... 2 [OK] 





读者 可 以 看 到 最 受 欢 迎 的 镜像 。 带 有 OFFICIAL 标 记 说 明 是 官方 镜 
像 。 用 户 可 使 用 docker pull 指 令 下 载 镜像 busybox: latest: 





$ docker pull busybox:latest 





下 载 后 ， 可 以 看 到 busybox 镜 像 只 有 2.433MB: 





$ docker images 
REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 
busybox latest e72ac664f4f0 6 weeks ago 2.433 MB 





JAz—busybox¥ ir, JFEARBAR AHMAR, W FR: 





$ docker run -it busybox 

/ # mount 

rootfs on / type rootfs (rw) 

none on / type aufs (rw,relatime,si=b455817946f8505c) 

proc on /proc type proc (rw,nosuid, nodev, noexec, relatime) 

tmpfs on /dev type tmpfs (rw,nosuid, mode=755) 

shm on /dev/shm type tmpfs (rw, nosuid, nodev, noexec, relatime, size=65536k ) 

devpts on /dev/pts type devpts (rw,nosuid, noexec, relatime, gid=5,mode=620, ptmxmode=666 ) 

sysfs on /sys type sysfs (ro,nosuid, nodev, noexec, relatime) 

/dev/disk/by -uuid/b1f2dba7 -d91b-4165-a377-bfia8bed3f61 on /etc/resolv.conf type 
ext4 (rw, relatime, errors=remount -ro, data=ordered) 

/dev/disk/by -uuid/b1f2dba7-d91b-4165-a377-bfia8bed3f61 on /etc/hostname type 
ext4 (rw, relatime, errors=remount -ro, data=ordered) 

/dev/disk/by - uuid/b1if2dba7-d91b-4165-a377-bfia8bed3f61 on /etc/hosts type ext4 
(rw, relatime, errors=remount-ro, data=ordered) 

devpts on /dev/console type devpts (rw,nosuid, noexec, relatime, gid=5,mode=620, pt 
mxmode=000 ) 

proc on /proc/sys type proc (ro,nosuid, nodev, noexec, relatime) 

proc on /proc/sysrq-trigger type proc (ro,nosuid, nodev, noexec, relatime) 

proc on /proc/irq type proc (ro,nosuid, nodev, noexec, relatime) 

proc on /proc/bus type proc (ro,nosuid, nodev, noexec, relatime) 

tmpfs on /proc/kcore type tmpfs (rw,nosuid, mode=755) 





8 但 包括 了 大 量 常见 的 Linux 命 令 ， 读 者 可 以 
用 它 快速 熟悉 Linux 命 令 。 





9.2 Alpine 


Alpine 操 作 系 统 是 一 个 面 同安 全 的 轻型 Linux 发 行 版 。 它 不 同 于 通常 
的 Linux 发 行 版 ，Alpine 采 用 了 mnusl libc 和 BusyBox 以 减 小 系统 的 体积 和 
运行 时 资源 消耗 ， 但 功能 上 比 BusyBox 又 完善 得 多 ， 因 此 得 到 开源 社区 
越 来 越 多 的 青睐 。 在 保持 瘦身 的 同时 ，Alpine 还 提供 了 和 上 自己 的 包 管 理工 
人 可 以 通过 https:/pkgs.alpinelinux.org/packages 查 询 包 信息 ， 也 可 
以 通 前 过 apk 命 令 直 接 查 询 和 安装 各 种 软件 。 


Dane 


Alpine 是 由 非 商 业 组 织 维 护 的 支持 广泛 场景 的 Linux 发 行 版 ， 它 特别 
为 资深 /重度 Linux 用 户 而 优化 ， 关 注 安全 、 性 能 和 资源 效能 。Alpine 镜 
a 并 且 是 一 个 优秀 的 可 以 适用 于 生产 的 基础 系 
统 /环境 。 


Alpine Docker 镜 像 也 继承 了 Alpine Linux 发 行 版 的 这 些 优势 。 相 比 
于 其 他 Docker 镜 像 ， 它 的 容量 非常 小 ， 仅 仅 只 有 5MB 左 右 《Ubuntu 系列 
镜像 接近 200MB ) ， 且 拥有 非常 友好 的 包 管 理 机 制 。 官 方 镜 像 来 自 
docker-alpine 项 目 。 


目前 Docker 官 方 已 开始 推荐 使 用 Alpine 蔡 代 之 前 的 Ubuntu 作为 基础 
镜像 环境 。 这 样 会 带 来 多 个 好 处 ， 包 括 镜 像 下 载 速度 加 快 ， 镜 像 安 全 性 
提高 ， 主 机 之 间 的 切换 更 方便 ， 占 用 更 少 磁盘 空间 等 。 

















表 9-1 是 官方 镜像 的 大 小 比较 。 
表 9-1 官方 镜像 大 小 比较 


REPOSITORY VIRTUAL SIZE 
alpine test O e | AB 
debian 849MB 
tm o oola ARI 
centos 210MB 


1. 使 用 官方 镜像 


由 于 镜像 很 小 ， 下 载 时 间 往 往 很 短 ， 可 以 使 用 docker run 指令 直接 
运行 一 个 alpine 容 器 ， 并 指定 运行 的 Linux 指 令 ， 例 如 : 











$ docker run alpine echo '123' 
123 








笔者 使 用 time 工 具 测 试 在 本 地 没有 提前 pull 镜 像 的 情况 下 ， 执 行 
echo 命 令 的 时 间 ， 仪 需要 3 秒 左右 。 





$ time docker run alpine echo oo Unable to find image ‘alpine:latest' locallylatest: 
Pulling from li esd eee 
B10 179 Pull complete Die sha256:3dcdb92d7432d56604d4545cbd324b14e647b 
313626d99b889d0626de158f73aStatus: Downloaded newer image for alpine: latest123 
real 0m3.367s user 0m0.040s sys Om0.007s 





2. 迁 移 至 Alpine 基 础 镜像 


目前 ， 大 部 分 Docker 官 方 镜 像 都 已 经 支持 Alpine 作 为 基础 镜像 ， 因 
此 可 以 很 容易 地 进行 迁移 。 


例如 : 





ubuntu/debi an -> alpin 
python:2.7 - > ele 2 7-alpine 
ruby:2.3 -> ruby:2.3-alpine 





另外 ， 如 果 使 用 Alpine 镜 像 蔡 换 Ubuntu 基 础 镜像 ， 安 装 软件 包 时 需 
要 用 apk 包 管理 器 蔡 换 apt 工 具 ， 如 





$ apk add --no-cache <package> 











Alpine 中 软件 安装 包 的 名 字 可 能 会 与 其 他 发 行 版 有 所 不 同 ， 可 以 
在 https://pkgs.alpinelinux.org/packages 网 站 搜索 并 确定 安装 包 的 名 称 。 如 
果 需 要 的 安装 包 不 在 主 索 引 内 ， 但 是 在 测试 或 社区 索引 中 ， 那 么 可 以 投 
照 以 下 方法 使 用 这 些 安装 包 : 














$ echo "http://d1-4.alpinelinux.org/alpine/edge/testing" >> /etc/apk/repositories 
$ apk --update add --no-cache <package> 





9.3 Debian/Ubuntu 


Debian 和 Ubuntu 都 是 目前 较为 流行 的 Debian 系 的 服务 堪 操 作 系 统 ， 
十 分 适合 研发 场景 。Docker Hub 上 提供 了 官方 镜像 ， 国 内 各 大 容器 云 服 
务 也 基本 都 提供 了 相应 的 支持 。 


1.Debian 系 统 简介 及 使 用 


Debian 是 由 GPL 和 其 他 目 由 软件 许可 协议 授权 的 目 由 软件 组 成 的 操 
作 系 统 ， 由 Debian Project 组 织 维护 。Debian 计 划 是 一 个 独立 、 分 散 的 组 
织 ， 由 3000 个 志愿 者 组 成 ， 接 受 世 界 多 个 非 食 利 组 织 的 资金 支持 ， 
Software in the Public Interest 提 供 文 持 并 持 有 商标 作为 保护 机 构 。Debian 
以 其 坚守 Unix 和 自由 软件 的 精神 ， 以 及 给 予 用 户 的 众多 选择 而 闻名 。 现 
在 Debian 包 括 了 超过 25000 个 软件 包 并 支持 12 个 计算 机 系统 结构 。 





作为 一 个 大 的 系统 组 织 框 架 ，Debian 下 面 有 多 种 不 同 操作 系统 核心 
的 分 文 计 划 ， 主 要 为 采用 Linux 核 心 的 Debian GNU/Linux, Hie 
有 采用 GNU Hurd 核 心 的 Debian GNU/Hurd 系 统 、 采 用 FreeBSD 核 心 的 
Debian GNU/kFreeBSD 系 统 ， 以 及 采用 NetBSD 核 心 的 Debian 
GNU/NetBSD 系 统 ， 甚 至 还 有 利用 Debian 的 系统 架构 和 工具 ， 采 用 
OpenSolaris 核 心 构建 而 成 的 Nexenta OS 系统 。 在 这 些 Debian 系 统 中 ， 以 
采用 Linux 核 心 的 Debian GNU/Linux 最 为 著名 。 


众多 的 Linux 发 行 版 ， 例 如 Ubuntu、Knoppix 和 Linspire 及 Xandros 
等 ， 都 基于 Debian GNU/Linux。 


可 以 使 用 docker search 搜 索 Docker Hub， 查 找 Debian 镜 像 ， 结 果 如 
下 所 示 : 





$ docker search debian 

NAME DESCRIPTION STARS OFFICIAL AUTOMATED 
debian Debian is... 1565 [OK] 

neurodebi. NeuroDebian... 26 [OK] 
armbuild/debian port of debian 8 [OK] 





官方 提供 了 大 家 熟知 的 debian 镜 像 以 及 面 癌 科研 领域 的 neurodebian 
镜像 。 


可 以 使 用 docker run 直 接 运 行 debian 镜 像 : 





$ docker run -it debian bash 
root@668e178d8d69:/# cat /etc/issue 
inux 8 


Debian GNU/Lin 








debian 镜 像 很 适合 作为 基础 镜像 ， 用 于 构建 自 定义 镜像 。 
2.Ubuntu 系 统 简介 及 使 用 


Ubuntu 是 一 个 以 和 桌面 应 用 为 主 的 GNU/Linux 操 作 系 统 ， 其 名 称 来 自 
非洲 南部 祖 鲁 语 或 豪 萨 语 的 ubuntu” 一 词 。Ubuntu 意 思 是 “人 性 ”以 及 “我 
的 存在 是 因为 大 家 的 存在 ”， 是 非洲 的 一 种 传统 价值 观 。Ubuntu 基 于 
Debian 发 行 版 和 GNOME/Unity 桌 面 环 境 ， 与 Debian 的 不 同 在 于 它 每 6 个 
月 会 发 布 一 个 新 版 本 ， 每 2 年 会 推出 一 个 长 期 支持 (Long Term 
Support, LTS) 版 本 ， 一 般 文 持 3 年 。 

















Ubuntu 相关 的 镜像 有 很 多 ， 在 Docker Hub 上 使 用 -s 10 参数 进行 搜 
索 ， 只 搜索 那些 被 收藏 10 次 以 上 的 镜像 : 








$ docker search -s 10 ubuntu 


NAME DESCRIPTION STARS OFFICIAL AUTOMATED 
ubuntu Official Ubuntu base image 840 [OK 
Dockerfile/ubuntu Trusted automated Ubuntu (http://www.ubunt... 30 [OK] 
crashsystems/gitlab-docker A trusted, regularly updated build of GitL... 20 [OK] 
sylvainlasnier/memcached This is a Memcached 1.4.14 docker images b... 16 [OK] 
ubuntu-upstart Upstart is an event-based replacement for ... 16 [OK] 
mbent ley/ubuntu-django-uwsgi-nginx 16 [OK] 
ansible/ubuntu14.04-ansible Ubuntu 14.04 LTS with ansible 15 [OK] 
clue/ttrss The Tiny Tiny RSS feed reader allows you t... 14 [OK] 
Dockerfile/ubuntu-desktop Trusted automated Ubuntu Desktop (LXDE) (h... 14 [OK] 
tutum/ubuntu Ubuntu image with SSH access. For the root... 12 [OK] 





YER, Docker 1.12 版 本 中 已 经 不 支持 --stars 参 数 了 ， 可 以 使 用 -f 
stars=N 人 参数 。 


根据 搜索 出 来 的 结果 ， 读 者 可 以 目 行 选择 下 载 镜像 并 使 用 。 
下 面 以 Ubuntu 14.04 为 例 ， 演 示 如 何 使 用 该 镜像 安装 一 些 币 用 软 





FF 
首先 使 用 -ti 参数 启动 容器 ， 登 录 bash， 但 看 ubuntu 的 发 行 版 本 号: 





$ docker run -ti ubuntu:14.04 /bin/bash 
root@7d93de07bf76:/# lsb_release -a 

No LSB modules are available. 
Distributor ID: Ubuntu 


Description: Ubuntu 14.04.1 LTS 
Release: 14.04 
Codename: trusty 





当 试 图 直接 使 用 apt-get 安 装 一 个 软件 的 时 候 ， 会 提示 E: Unable to 


locate package: 





root@7d93de07bf76:/# apt-get install curl 
Reading package lists. Done 

Building dependency tree 

Reading state information... Done 

E: Unable to locate package curl 





这 并 非 系统 不 支持 apt-get 命 令 。Docker 镜 像 在 制作 时 为 了 精简 清除 
了 apt 仓 库 信 息 ， P es -get update 命令 来 更 新 仓库 信息 。 更 
新 信息 后 即 可 成 功 通 过 apt-get 命 令 来 安装 软件 : 





root@7d93de07bf76:/# apt-get update 





安装 curl 工 具 : 





root@7d93de07bf76:/# apt-get install curl -y 
Reading package lists... Done 

Building dependency tree 

Reading state information... Done 


root@7d93de07bf76:/# curl 
curl: try ‘curl --help' or ‘curl --manual' for more information 





接 下 来 ， 再 安装 apache 服 务 : 





root@7d93de07bf76:/# apt-get install -y apache2 





启动 这 个 apache 服 务 ， 然 后 使 用 curl 来 测试 本 地 访问 : 





root@7d93de07bf76:/# service apache2 start 





配合 使 用 -p 参 数 对 外 映射 服务 端口 ， 可 以 允许 外 来 容 圳 访问 该 服 


9.4 CentOS/Fedora 


1.CentOS 系 统 简 介 及 使 用 


CentOS 和 Fedora 都 是 基于 Redhat 的 常见 Linux 分 支 。CentOS 是 上 日 前 
企业 级 服务 器 的 常用 操作 系统 ，Fedora 则 主要 面向 个 人 桌面 用 户 。 


a’ CentOS 


CentOS (Community Enterprise Operating System， 社 区 企业 操作 系 
统 ) 是 基于 Red Hat Enterprise Linux 源 代码 编译 而 成 的 。 由 于 CentOS 与 
Redhat Linux 源 于 相同 的 代码 基础 ， 所 以 很 多 成 本 敏感 且 需 要 高 稳定 性 
的 公司 就 使 用 CentOS 来 蔡 代 商业 版 Red Hat Enterprise Linux。CentOS 自 
身 不 包含 闭 源 软 件 。 


在 Docker ”Hub 上 使 用 docker ”search 命 令 来 搜索 标 星 至 少 为 25 的 
CentOS 相 关 镜 像 ， 如 下 所 示 : 














$ docker search -f stars=25 centos 

NAME DESCRIPTION STARS OFFICIAL AUTOMATED 
centos e official... 2543 [OK] 
jdeathe/centos-ssh 27 [OK] 





使 用 docker run 直 接 运行 最 新 的 CentOS 镜 像 ， 并 登录 bash: 





o 
[root@43eb3b194d48 /]# cat /etc/redhat-release 
CentOS Linux release 7.2.1511 (Core) 





2.Fedora 系 统 简 介 及 使 用 


Fedora 是 由 Fedora Project 社 区 开发 ， 红 帽 公司 赞助 的 Linux 发 行 版 。 
它 的 目标 是 创建 一 套 新 颖 、 多 功能 并 且 自 由 和 开源 的 操作 系统 。 对 用 户 
而 言 ，Fedora 是 一 套 功能 完备 的 、 可 以 更 新 的 免费 操作 系统 ， 而 对 赞助 
falRed Hat 而 言 ， 它 是 许多 新 技术 的 测试 平台 ， 被 认为 可 用 的 技术 最 终 
会 加 入 到 Red Hat Enterprise Linux 中 。 











在 Docker Hub 上 使 用 docker search 命 令 来 搜索 标 星 至 少 为 2 的 Fedora 
相关 镜像 ， 结 果 如 下 : 





$ docker search -f stars=2 fedora 


NAME DESCRIPTION STARS OFFICIAL 
AUTOMATED 

fedora Official Docker builds of Fedora 433 [OK] 

dockingbay/fedora-rust Trusted build of Rust programming language... 3 [OK] 

gluster/gluster-fedora Official GlusterFS image [ Fedora 21 + Glu... 3 [OK] 

startx/fedora Simple container used for all startx based... 2 [OK] 





使 用 docker run 命 令 直接 运行 Fedora 官 方 镜像 ， 并 登录 bash: 





$ docker run -it fedora bash 
[root@196ca341419b /]# cat /etc/redhat-release 
Fedora release 24 (Twenty Four) 





9.5 本章 小 结 


本 章 讲 解 了 典型 操作 系统 镜像 的 下 载 和 使 用 。 除 了 官方 的 镜像 之 
外 ， 在 Docker Hub 上 还 有 许多 第 三 方 组 织 或 个 人 上 传 的 Docker 镜 像 。 读 
者 可 以 根据 具体 情况 来 选择 。 一 般 来 说 注意 如 下 几 点 : 


-官方 镜像 体积 都 比较 小 ， 只 带 有 一 些 基本 的 组 件 。 精 简 的 系统 有 
利于 安全 、 稳 定 和 高 效 运 行 ， 也 适合 进行 定制 。 


:个别 第 三 方 镜 像 〈 如 tutum， 已 被 Docker 收 购 ) 质量 也 非常 高 。 这 
些 镜像 通常 针对 某 个 具体 应 用 进行 配置 ， 比 如 ， 包 含 LAMP 组 件 的 
Ubuntu 镑 像 。 


出 于 安全 考虑 ， 几 乎 所 有 官方 制作 的 镜像 都 没有 安装 SSH 服 务 ， 无 
法 使 用 用 户 名 和 密码 直接 登录 。 


后 续 章 节 中 ， 笔 者 将 介绍 如 何 创建 一 个 融 SSH 服 务 的 Docker 锐 像 。 























第 10 音 ”为 镜像 添加 SSH 服 务 


在 第 一 部 分 中 介绍 了 一 些 进 入 容器 的 办 法 ， 比 如 attach、exec 等 命 
令 ， 但 是 这 些 命令 都 无 法 解雇 远程 管理 容器 的 问题 。 因 此 ， 当 读者 需要 
远程 登录 到 容器 内 进行 一 些 操作 的 时 候 ， 束 需要 SSH 的 文 持 了 。 

本 章 将 具体 介绍 如 何 上 自行 创建 一 个 带 有 SSH 服 务 的 镜像 ， 并 详细 介 


绍 了 两 种 创建 容器 的 方法 : 基于 docker commit 命 令 创 建 和 基于 
Dockerfile 创 建 。 


10.1 基于 commit 命 令 创 建 


Docker 提 供 了 docker commit 合 令 S, LEH IEZ H OX HE RA 
修改 ， 并 生成 新 的 镜像 。 命 令 格 式 为 docker commit 
CONTAINER[REPOSITORY[: TAG]]. 





这 里 将 介绍 如 何 用 docker commit 命 令 。 笔 者 以 ubuntu: 14.04 镜 像 添 
加 SSH 服 务 的 操作 流程 为 例 。 


1. 准 备 工作 
首先 ， 使 用 ubuntu: 14.04 镜 像 来 创建 一 个 容器 : 





$ docker run -it ubuntu:14.04 /bin/bash 





更 新 apt 绥 存 ， 并 安装 0penssh-server: 





root@fc1936ea8ceb:/# apt-get update; apt-get install openssh-server -y 





2. 安 装 和 配置 SSH 服 务 
选择 主流 的 openssh-server 作 为 服务 端 ; 





root@fc1936ea8ceb:/# apt-get install openssh-server -y 





如 果 需 要 正常 启动 SSH 服 务 ， 则 目录 /var/run/sshd 必 须 存 在 。 手 动 创 
建 它 ， 并 启动 SSH 服 务 : 





root@fc1936ea8ceb:/# mkdir -p /var/run/sshd 
root@fc1936ea8ceb:/# /usr/sbin/sshd -D & 
[1] 3254 





此 时 碍 看 容器 的 22 端 口 《SSH 服 务 默认 监听 的 端口 ) ， 可 见 此 端口 
己 经 处 于 监听 状态 : 





root@fc1936ea8ceb:/# netstat -tunlp 
Active Internet connections (only servers) 
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name 


tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 
tcp6 0 O 2522 Eers LISTEN 





修改 SSH 服 务 的 安全 登录 配置 ， 取 消 pam 登 录 限 制 : 





root@fc1936ea8ceb:/# sed -ri 's/session required pam_loginuid.so/#session 
required pam_loginuid.so/g' /etc/pam.d/sshd 








fErootHd | Ask FeV ssh Ae, FPR HI RESIN A (AK 
为 本 地 主机 用 户 目录 下 的 .ssh/id_rsa.pub 文 件 ， 可 由 ssh-keygen-t rsa 命 令 
生成 ) 到 authorized_keys 文 件 中 : 





root@fc1936ea8ceb:/# mkdir root/.ssh 
root@fc1936ea8ceb:/# vi /root/.ssh/authorized_keys 





创建 目 动 司 动 SSH 服 务 的 可 执行 文件 run.sh， 并 添加 可 执行 权限 : 





root@fc1936ea8ceb:/# vi /run.sh 
root@fc1936ea8ceb:/# chmod +x run.sh 





其 中 ，run.sh 脚 本 内 容 如 下 : 





#!/bin/bash 
/usr/sbin/sshd -D 








root@fc1936ea8ceb:/# exit 





3. 保 存 镜像 


将 所 退出 的 容器 用 docker commit 命 令 保存 为 一 个 新 的 sshd: ubuntu 
镜像 : 





$ docker commit fc1 sshd:ubu 
ECE doe T life sone ed te boleedededebere 





使 用 docker _ images 查看 本 地 生成 的 新 镜像 shd: ubuntu， 目 前 拥有 
的 镜像 如 下 : 





$ docker images 


REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 
sshd ubuntu T7aef2cd95fdo 10 seconds ago 255.2 MB 
busybox latest e72ac664f4f0 3 weeks ago 2.433 MB 
ubuntu latest ba5877dc9bec 3 months ago 192.7 MB 





4. 使 用 镜像 


月 动容 十 ， 并 添加 端 Sa eae 其 中 10022 是 宿主 主机 的 
端口 ，22 是 容器 的 SSH 服 务 监听 端 





$ docker run -p 10022:22 -d sshd:ubuntu /run.sh 
3ad7182aa47f9ce670d933F943Fdec946ab69742393ab2116bace72db82b4895 





局 动 成 功 后 ， 可 以 在 宿主 主机 上 看 到 容器 运行 的 详细 信息 : 








$ docker ps 

CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 

3ad7182aa47f sshd:ubuntu "/run.sh" 2 seconds ago Up 2 seconds 
0.0.0.0:10022->22/tcp focused_ptolemy 





在 宿主 主机 〈192.168.1.200) 或 其 他 主机 上 上 ， 可 以 通过 SSH 访 问 
10022% O REKA AF: 





$ ssh 192.168.1.200 -p 10022 
root@3ad7182aa47f :~# 





10.2 ”使 用 Dockerfile 创 建 


在 第 一 部 分 中 笔者 兽 介 绍 过 Dockerfile 的 基础 知识 ， 下 面 将 介绍 如 
何 使 用 Dockerfile 来 创建 一 个 文 持 SSH 服 务 的 镜像 。 


1. 创 建 工作 目录 
首先 ， 创 建 一 个 sshd_ubuntu 工 作 目 录 : 





$ mkdir sshd_ubuntu 


sshd_ubuntu 





在 其 中 ， 创 建 Dockerfile 和 run.sh 文 件 : 





$ cd sshd_ubuntu/ 
$ touch Dockerfile run.sh 
is 


Dockerfile run.sh 





2. 编 写 run.sh 脚 本 和 authorized_keys 文 件 
脚本 文件 run.sh 的 内 容 与 上 一 小 节 中 一 致 : 








#!/bin/bash 
/usr/sbin/sshd -D 





在 宿主 主机 上 生成 SSH 密 钥 对 ， 并 创建 authorized_keys 文 件 : 








$ ssh-keygen -t rsa 


$ cat ~/.ssh/id_rsa.pub >authorized_keys 





3.4 5 Dockerfile 


下 面 是 Dockerfile 的 内 容 及 各 部 分 的 注释 ， 可 以 对 比 上 一 节 中 利用 
docker commit 命 令 创建 镜像 过 程 ， 所 进行 的 操作 基本 一 致 : 





# 设 置 继承 镜像 

FR ubuntu:14.04 

# 提 供 一 些 作者 的 信息 

MAINTAINER docker_user (user@docker.com) 


# 下 面 开 始 运行 更 新 命令 

RUN apt-get update 

# 安 装 ssh 服 

RUN apt-get install -y openssh-server 

RUN mkdir -p /var/run/sshd 

RUN mkdir -p /root/.ssh 

# 取 消 pam 限 制 

RUN sed -ri 's/session required pam_loginuid.so/#session required 
pam_loginuid.so/g' /etc/pam.d/sshd 

# 复 制 配置 文件 到 相应 位 置 , 并 赋予 脚本 可 执行 权限 

ADD authorized_keys /root/.ssh/authorized_keys 

ADD run.sh /run.sh 

RUN chmod 755 /run.sh 

# 开 放 端 口 

EXPOSE 22 

# 设 置 自 启动 命 

CMD ["/run. ant ] 





4. 创 建 镜像 


在 sshd_ubuntu 目 录 下 ， 使 用 docker build 命 令 来 创建 镜像 。 这 里 需要 
注意 最 后 还 有 一 个 “.”， 表 示 使 用 当前 目录 中 的 Dockerfile: 








$ cd sshd_ubuntu 
$ docker build -t sshd:Dockerfile . 





如 果 读 者 使 用 Dockerfile 创 建 自 定 义 镜像 ， 那 么 _ 意 的 是 
Docker 会 自动 删除 中 间 临 时 创建 的 层 ， 还 需要 注意 每 一 步 的 操作 和 编写 
的 Dockerfile 中 命令 的 对 应 关系 。 


命令 执行 完毕 后 ， 如 果 读 者 可 见 “Successfully built XXX” 字 样 ， 则 
说 明镜 像 创 建成 功 。 可 以 看 到 ， 以 上 命令 生成 的 镜像 ID 是 
570c26a9de68。 


在 本 地 查看 sshd: Dockerfile 镜 像 已 存在 : 





$ docker images 


REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 
Dockerfile 570c26a9de68 4 minutes ago 246.5 MB 
sshd ubuntu 7aef2cd95fd0 12 hours ago 255.2 MB 
busybox latest e72ac664f4f0 3 weeks ago 2.433 MB 
ubuntu 14.04 ba5877dc9bec 3 months ago 192.7 MB 
ubuntu latest ba5877dc9bec 3 months ago 192.7 MB 





5. 测 斌 镜像， 运行 容器 
使 用 刚才 创建 的 sshd: Dockerfile 镜 像 来 运行 一 个 容器 。 
直接 启动 镜像 ， 映 射 容 器 的 22 端 口 到 本 地 的 10122 端 口 : 





$ docker run -d -p 10122:22 sshd:Dockerfile 
890c04ff8d769b604386ba4475253ae8C21fc92d60083759afa77573bf4e8af1 
$ docker ps 


CONTAINER ID IMAGE COMMAND CREATED 


STATUS PORTS NAMES 
890c04ff8d76 sshd:Dockerfile "/run.sh" 4 seconds ago 
Up 3 seconds 0.0.0.0:10122->22/tcp high_albattani 





在 宿主 主机 新 打开 一 个 终端 ， 连 接 到 新 建 的 容器 : 





$ ssh 192.168.1.200 -p 10122 
root@890c04ff8d76: ~# 








效果 与 上 一 小 市 一 致 ， 镜 像 创建 成 功 。 


10.3 本章 小 结 


在 Docker 社 区 中 ， 对 于 是 否 需 要 为 Docker 容 器 启用 SSH 服 务 一 直 有 
Fie o 


反对 方 的 观点 是 : Docker 的 理念 是 一 个 容器 只 运行 一 个 服务 。 
此 ， 如 果 每 个 容器 都 运行 一 个 额外 的 SSH 服 务 ， 就 违背 了 这 个 理念 。 男 
外 认为 根本 没有 从 远程 主机 进入 容器 进行 维护 的 必要 。 


支持 方 的 观点 是 : 在 Docker ”1.3 版 本 之 前 ， 如 果 要 用 attach 进 入 容 
器 ， 经 党 容易 出 现 卡 死 的 情况 。1.3 之 后 ， 虽 然 官 方 推出 了 docker exec 命 
令 ， 再 从 宿主 主机 进入 是 没有 障碍 了 ， 但 是 如 果 要 从 其 他 远程 主机 进入 
容器 依然 没有 更 好 的 解决 方案 。 


笔者 认为 ， 这 两 种 说 法 各 有 道理 ， 其 实 是 在 讨论 不 同 的 容器 场景 : 
即 作 为 应 用 容器 还 是 作为 系统 容 帮 。 应 用 容 右 行为 围绕 应 用 生命 周期 ， 
较为 简单 ， 不 需要 人 工 的 额外 和 干预， 而 系统 容 需 则 需要 支持 管理 员 的 登 
录 操 作 ， 这 个 时 候 ， 对 SSH 服 务 的 支持 就 变 得 十 分 必要 了 。 

因此 ， 在 Docker 推 出 更 加 高 效 、 安 全 的 方式 对 系统 容器 进行 远程 操 
作 之 前 ， 容 右 的 SSH 服 务 还 是 比较 重要 的 ， 而 且 它 对 资源 的 需求 不 高 ， 
同时 安全 性 可 以 保障 。 








第 11 章 Web 服 务 与 应 用 
Web 服 务 和 应 用 是 目前 信息 技术 领域 的 热门 技术 。 


本 章 将 重点 介绍 如 何 使 用 Docker 来 运行 常见 的 Web 服 务 器 (包括 
Apache、Nginx、Tomcat 等 ) ， 以 及 一 些 常 用 应 用 CLAMP, CMS 
等 ) 。 包 括 具体 的 镜像 构建 方法 与 使 用 步骤 。 


本 章 会 展示 两 种 创建 镜像 的 过 程 。 其 中 一 些 操作 比较 简单 的 镜像 使 
用 Dockerfile 来 创建 ， 而 像 Weblogic 这 样 复杂 的 应 用 ， 则 使 用 commit 方 
式 来 创建 ， 读 者 可 根据 自己 的 需求 进行 选择 。 
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11.1 Apache 


Apache 是 一 个 高 稳定 性 的 、 商 业 级 别 的 开源 Web 服 务 器 。 目 前 
Apache 己 经 是 世界 使 用 排名 第 一 的 Web 服 务 器 软件 。 由 于 其 良好 的 跨 平 
人 台 和 安全 性 ，Apache 被 广泛 应 用 在 多 种 平台 和 操作 系统 上 。 作 为 Apache 
软件 基金 会 支持 的 项 目 ， 它 的 开发 者 社区 完善 而 高 效 。 自 1995 年 发 布 至 
今 ， 一 直 以 高 标准 进行 维护 与 开发 。Apache 名 称 源 自 美国 的 西南 部 一 个 
印第安 人 部 落 : 阿 帕 奇 族 ， 它 支持 类 UNIX 和 Windows 系 统 。 


a Apache 


1. 使 用 官方 镜像 
官方 提供 了 名 为 httpd 的 Apache 镜 像 ， 可 以 作为 基础 Web 服 务 镜像 。 
编写 Dockerfile 文 件 ， 内 容 如 下 : 

















FROM httpd:2.4 
OPY ./public-html /usr/local/apache2/htdocs/ 


创建 项 目 目 录 public-html， 并 在 此 目录 下 创建 index.html 文 件 : 


<!DOCTYPE html> 
<html> 
<body> 
<p>Hello, Docker !</p> 
</body> 
</html> 





构建 目 定 义 镜 像 : 


$ docker build -t apache2-image . 





构建 完成 后 ， 使 用 docker run 指 令 运 行 镜像 : 





$ docker run -it --rm --name apache-container -p 80:80 apache2-image 





通过 本 地 的 80 问 口 即 可 访问 静态 页 面 ， 如 图 11-1 所 示 。 


| | 192.168.99.100 


Hello, Docker! 





图 11-1 ”Apache 运 行 界面 


也 可 以 不 创建 目 定 义 镜像 ， 和 直接 通过 映 冉 目录 方式 运行 Apache 容 
ai: 





$ do my-apache-app -p 80:80 -v "$PWD":/usr/local/ 


cker run -it --rm --name 
apache2/htdocs/ httpd:2.4 





再 次 打开 浏览 器 ， 可 以 再 次 看 到 页 面 输出 。 
2. 使 用 自 定 义 镜像 
首先 ， 创 建 一 个 apache_ubuntu 工 作 目 录 ， 在 其 中 创建 Dockerfile 文 


件 、run.sh 文 件 和 sample 目 录 : 





$ mkdir apache_ubuntu && cd apache_ubuntu 
$ touch Dockerfile run.sh 
$ mkdir sample 





下 面 是 Dockerfile 的 内 容 和 各 个 部 分 的 说 明 : 





FROM sshd:Dockerfile 
# 设 置 继承 自用 户 创建 的 sshd 镜 像 
MAINTAINER docker_user (user@docker.com) 
# 创 建 者 的 基本 信息 
# 设 置 环境 变量 ， 所 有 操作 都 是 非 交 互 式 的 
ENV DEBIAN_FRONTEND noninteractive 
# 安 装 
RUN apt-get -yq install apache2&&\ 
rm -rf /var/lib/apt/lists/* 
RUN echo "Asia/Shanghai" > /etc/timezone && \ 
dpkg-reconfigure -f noninteractive tzdata 
# 注 意 这 里 要 更 改 系统 的 时 区 设置 ， 因 为 在 web 应 用 中 经 常会 用 到 时 区 这 个 系统 变量 ， 默 认 的 ubuntu 
?会 让 你 的 应 用 程序 发 生 不 可 思议 的 效果 哦 
# 添 加 用 户 的 脚本 ， 并 设置 权限 ， 这 会 覆盖 之 前 放 在 这 个 位 置 的 脚本 
ADD run.sh /run.sh 
RUN chmod 755 /*.sh 
# 添 加 一 个 示例 的 web 站 点 ， 删 掉 默 认 安装 在 apache 文 件 夹 下 面 的 文件 ， 并 将 用 户 添加 的 示例 用 软 链接 
? 链 到 /var/www/html 目 录 下 面 
RUN mkdir -p /var/lock/apache2 &&mkdir -p /app && rm -fr /var/www/html && 1n -s 
Zapp /var/www/html 
COPY sample/ /app 
# 设 置 apache 相 关 的 一 些 变量 ， 在 容器 启动 的 时 候 可 以 使 用 -e 参 数 蔡 代 
ENV APACHE_RUN_USER www-data 
ENV APACHE_RUN_GROUP www-data 
ENV APACHE_LOG_DIR /var/log/apache2 
ENV APACHE_PID_FILE /var/run/apache2.pid 
ENV APACHE_RUN_DIR /var/run/apache2 
ENV APACHE_LOCK_DIR /var/lock/apache2 
ENV APACHE_SERVERADMIN admin@localhost 
ENV APACHE_SERVERNAME localhost 
ENV APACHE_SERVERALIAS docker. localhost 
ENV APACHE_DOCUMENTROOT /var/www 
EXPOSE 80 
WORKDIR /app 
CMD ["/run.sh"] 























































































































此 sample 站 点 的 内 容 为 输出 Hello Docker! 。 然 后 在 sample 目 录 下 创 
建 index.html 文 件 ， 内 容 如 下 : 





<!DOCTYPE html> 
<html> 
<body> 
<p>Hello, Docker!</p> 
</body> 
</html> 





run.sh 脚 本 内 容 也 很 简单 ， 只 是 启动 apache 服 务 : 





$ cat run.sh 
#!/bin/bash 
exec apache2 -D FOREGROUND 





此 时 ，apache_ubuntu 目 录 下 面 的 文件 结构 为 : 





$ tree . 


|-- Dockerfile 
|-- run.sh 
~-- sample 
`-- index.html 
1 directory, 3 files 





下 面 ， 用 户 开始 创建 apache: ubuntu 镜像 


使 用 docker build 命 令 创 建 apache: ubuntu 镜像 ， 注 意 命令 最 后 
的 和 





$ docker build -t apache:ubuntu . 





下 面 开 始 使 用 docker run 指 令 测 试镜 像 。 可 以 使 用 -P 参 数 映 射 需 要 开 
放 的 端口 (22 和 80 端 口 ) : 





$ docker run -d -P apache:ubuntu 
64681e2ae943f18eae9f599dbc43b5f44d9090bdca3d8af641d7b371c124acfd 
$ docker ps -a 


CONTAINER ID IMAGE COMMAND CREATED STATUS 
PORTS NAMES 

64681e2ae943 apache: ubuntu "/run.sh" 2 seconds ago 
Up 1 seconds 0.0.0.0:49171->22/tcp, 0.0.0.0:49172->80/tcp 
naughty_poincare 

890c04ff8d76 sshd:Dockerfile "AY: 9 hours ago 
Exited (0) 3 hours ago 0.0.0.0:101- saarten, high albattan 

3ad7182aa47f sshd: ubuntu PYN sh" 1 hours ago 


Exited (0) 3 hours ago 0.0.0.0:100- SAED focused Seger y 





在 本 地 主机 上 用 cun 抓 取 网 页 来 验证 刚才 创建 的 sample 站 点 : 





$ curl 127. 时 0.1:49172 
Hello Docke 





读者 也 可 以 在 其 他 设备 上 通过 访问 宿主 主机 ip: 49172 来 访问 sample 
站 点 。 


不 知道 有 没有 细心 的 读者 发 现 ， ee 1H 
EXPOSE 定 义 了 对 外 开放 的 80 端 口 ， 而 在 docker ps-a 命 令 的 返回 中 ， 却 
看 到 新 局 动 的 容器 映射 了 两 个 端口 : 22 和 80。 


但 是 实际 上 ， 当 尝试 使 用 SSH 登 录 到 容器 时 ， 会 发 现 无 法 登录 。 这 
是 因为 在 run.sh 脚 本 中 并 未 启动 SSH 服 务 。 这 说 明 在 使 用 Dockerfile 创 建 
镜像 时 ， 会 继承 父 镜像 的 开放 端口 ， 但 却 不 会 继承 启动 命令 。 Ath, Fe 
要 在 run.sh 脚 本 中 添加 启动 sshd 的 服务 的 命令 : 








$ cat run.sh 

#!/bin/bash 

/usr/sbin/sshd & 

exec apache2 -D FOREGROUND 





再 次 创建 镜像 : 





$ docker build -t apache:ubuntu . 





这 次 创建 的 镜像 ， 将 默认 会 同时 启动 SSH 和 Apache 服 务 。 


下 面 ， 来 看 看 如 何 映射 本 地 目录 。 可 以 通过 映射 本 地 目录 的 方式 ， 
来 指定 容器 内 Apache 服 务 响应 的 内 容 ， 例 如 映射 本 地 主机 上 当前 目录 下 
Hwww H KEJA 48 A AY /var/www He: 








$ docker run -i -d -p 80:80 -p 103:22 -e APACHE_SERVERNAME=test -v “pwd /www:/ 
var/www:ro apache:ubuntu 





r 在 当前 目录 内 创建 www 目 录 ， 并 放 上 和 目 定义 的 页 面 index.html， 内 
容 如 下 : 





<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"> 
<htm1><head> 

<title>Hi Docker</title> 

</head><body> 

<hi>Hi Docker</h1> 

<p>This is the first day I meet the new world.</p> 
<p>How are you?</p> 

<hr> 


<address>Apache/2.4.7 (Ubuntu) Server at 127.0.0.1 Port 80</address> 
</body></htm1> 








FEA HEALER Hy WW AAA EN Webiks, BARMAAB AM 
配置 的 index.html 页 面 信息 。 


11.2 Nginx 


Nginx — IKJ REE KAIA YRS RRS Ah, SCHEHTTP. 
HTTPS、SMTP、POP3、IMAP 等 协议 。 它 也 可 以 作为 负载 均衡 器 、 
HTTP 绥 存 或 Web 服 务 器 。Nginx 一 开始 就 专注 于 高 并 发 和 高 性 能 的 应 用 
场景 。 它 使 用 类 BSD 开 源 协 议 ， 支 持 Linux、BSD、Mac、Solaris、AIX 
等 类 Unix 系 统 ， 同 时 也 有 Windows 上 的 移植 版 本 。 


NGINX 


本 节 将 介绍 Nginx 官 方 镜 像 的 使 用 。 
1. 使 用 官方 镜像 
用 户 可 以 使 用 docker run 指 令 直接 运行 官方 Nginx 镜 像 : 














$ docker run -d -p 80:80 --name webserver ngin 
sabede igda ero 7b haces seb ene en eyesores 





然后 使 用 docker ps 指令 查看 当前 运行 的 docker ps 指令 查看 当前 运行 
的 容器 : 





$ docker ps 
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 
34bcd01998a7 nginx "nginx..." 2min ago Up 0.0.0.0:80->80/tcp, 443/tcp webserver 





目前 Nginx 容 器 已 经 在 0.0.0.0: 80 启 动 ， 并 映射 了 80 端 口 ， 此 时 可 
以 打开 浏览 器 访问 此 地 址 ， 就 可 以 看 到 Nginx 输 出 的 页 面 ， 如 图 11-2 所 
ZN o 


Welcome to nginx! 


If you see this page, the nginx web server is successfully installed and 
working, Further configuration is required, 


For online documentation and support please refer to nginx.org, 
Commercial support is available at nginx.com, 


Thank you for using nginx. 





图 11-2 访问 Nginx 服 务 
2. 自 定义 Web 页 面 


同样 的 ， 创 建 index.html 文 件 ， 并 将 index.html 文 件 挂 载 至 容器 中 ， 
即 可 看 到 显示 目 定 义 的 页 面 。 





另外 ， 也 可 以 使 用 Dockerfile 来 构建 新 镜像 。Dockerfile 内 容 如 下 : 


FROM nginx 
COPY ./index.html /usr/share/nginx/html 





开始 构建 锐 像 my-nginx: 





$ docker build -t my-nginx . 





构建 成 功 后 执行 docker run 指 令 : 





$ docker run --name nginx-container -d my-nginx 





11.3 Tomcat 


Tomcat 是 由 Apache 软 件 基 金 会 下 属 的 Jakarta 项 目 开 发 的 一 个 Servlet 
San, Sun “ Microsystems 提供 的 技术 规范 ， 实 现 了 对 Servlet 和 Java 
Server Page (JSP) 的 文 持 。 同 时 ， 它 提供 了 作为 web 服务器 的 一 些 特有 
功能 ， 如 Tomcat 管 理 和 控制 平台 、 安 全 域 管理 和 Tomcat 浆 等。 由 于 
Tomcat 本 导 也 内 含 了 一 个 HTTP 服务器， 也 可 以 当 作 一 个 单独 的 Web 服 
务 器 来 使 用 。 下 面 介 绍 如 何 定制 Tomcat 镜 像 。 


TOMCAT 





首先 ， 尝 试 在 Docker Hub 上 搜索 已 有 的 Tomcat 相 关 镜 像 的 个 数 : 





$ docker search tomcat |wc -1 
285 





可 以 看 到 ， 已 经 有 285 个 相关 镜像 。 如 是 个 人 开发 或 测试 ， 可 以 随 
意 选 择 一 个 镜像 ， 按 照 提示 启动 应 用 即 可 。 


下 面 以 Tomcat 7.0 为 例 介 绍 定制 Tomcat 镜 像 的 步骤 。 
1. 准 备 工作 


创建 tomcat7.0_jdk1.6 文 件 夹 ， 从 www.oracle.com 网 站 上 下 载 sun_jdk 
1.6 压 缩 包 ， 解 压 为 jdk 目 录 。 


创建 Dockerfile 和 run.sh 文 件 : 





$ mkdir tomcat7.0_jdk1.6 
$ cd tomcat7.0_jdk1.6/ 
$ touch Dockerfile run.sh 








下 载 Tomcat， 可 以 到 官方 网 站 下 载 最 新 的 版 本 ， 也 可 以 直接 使 用 下 
面 链接 中 给 出 的 版 本 : 





$ wget http://mirror.bit.edu.cn/apache/tomcat/tomcat-7/v7.0.56/bin/apache-tomcat- 
7.0.56.zip 








解压 后 ，tomcat7.0_jdk1.6 目 录 结 构 应 如 下 所 示 (多 余 的 压缩 包 文 件 
已 经 被 删除 ) 





$ 1s 
Dockerfile apache-tomcat-7.0.56 jdk run.sh 





2.Dockerfile 文 件 和 其 他 脚本 文件 
Dockerfile 文 件 内 容 如 下 : 





FROM sshd: ante 
# 设 户 人 的 sshg 匀 人 
MATNTATNER docker_user (user@docker .com) 














# 下 面 是 一 些 创 建 者 的 基本 信息 
# 设 置 环境 变量 ， 所 有 操作 都 是 非 交 互 式 的 
ENV DEBIAN_FRONTEND noninteractive 
# 注 意 这 里 要 更 改 系统 的 时 区 设置 
RUN echo "Asia/Shanghai" > /etc/timezone && \ 
dpkg-reconfigure -f noninteractive tzdata 
# 安 装 跟 tomcat 用 户 认证 相关 的 软件 
RUN apt-get install -yq --no-install-recommends wget pwgen ca-certificates && \ 
apt-get clean && \ 
rm -rf /var/lib/apt/lists/* 
# 设 置 tomcat 的 环境 变量 ,者 读者 有 其 他 的 环境 变量 需要 设置 ， 也 可 以 在 这 里 
ENV CATALINA HOME /tomcat 
ENV JAVA_HOME /jdk 
# 复 制 tomcat 和 jdk 文 件 到 镜像 9 
ADD apache-tomcat-7.0.56 /tomcat 
ADD jdk /jdk 
ADD create_tomcat_admin_user.sh /create_tomcat_admin_user.sh 
ADD run.sh /run.sh 
RUN chmod +x /*.sh 
RUN chmod +x /tomcat/bin/*.sh 
EXPOSE 8080 
CMD ["/run.sh"] 
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创建 tomcat 用 户 和 密码 脚本 文件 create_tomcat admin user.sh 文 件 ， 
内 容 为 : 





#!/bin/bash 
if [ -f /.tomcat_admin_created ]; then 
echo "Tomcat 'admin' user already created" 
exit 0 
fi 
#generate password 
PASS=${TOMCAT_PASS: -$(pwgen -s 12 1)} 
_word=$( [ ${TOMCAT_PASS} ] && echo "preset" || echo "random" ) 
echo "=> Creating and admin user with a ${_word} password in Tomcat" 
sed -i -r 's/<\/tomcat-users>//' ${CATALINA_HOME}/conf/tomcat-users. xml 
echo '<role rolename="manager-gui"/>' >> ${CATALINA_HOME}/conf/tomcat-users. xml 
echo '<role rolename="manager-script"/>' >> ${CATALINA_HOME}/conf/tomcat-users.xml 
echo '<role rolename="manager-jmx"/>' >> ${CATALINA_HOME}/conf/tomcat-users. xml 
echo '<role rolename="admin-gui"/>' >> ${CATALINA_HOME}/conf/tomcat-users.xml 
echo '<role rolename="admin-script"/>' >> ${CATALINA_HOME}/conf/tomcat-users.xml 
echo "<user username=\"admin\" password=\"${PASS}\" roles=\"manager - gui, manager - 
script,manager-jmx,admin-gui, admin-script\"/>" >> ${CATALINA_HOME}/conf/ 
tomcat-users.xml 
echo '</tomcat-users>' >> ${CATALINA_HOME}/conf/tomcat-users. xml 
echo "=> Done!" 
touch /.tomcat_admin_created 
echo "= = 
echo "You can no 
echo "" 
echo 
echo 
echo 











编写 run.sh 脚 本 文件 ， 内 容 为 : 





#!/bin/bash 

if [ ! -f /.tomcat_admin_created ]; then 
/create_tomcat_admin_user.sh 

fi 

/usr/sbin/sshd -D & 

exec ${CATALINA_HOME}/bin/catalina.sh run 





3. 创 建 和 测试 镜像 
通过 下 面 的 命令 创建 镜像 tomcat7.0: jdk1.6: 





$ docker build -t tomcat7.0:jdk1.6 . 





局 动 一 个 tomcat 容 器 进行 测试 : 





$ docker run -d -P tomcat7.0:jdk1. 
Sian esac sade’ Tot 06530 ee 





通过 docker logs 得 到 tomcat 的 密码 aBwNOCNCPckw: 





$ docker logs 3cd 

=> Creating and admin user with a random password in Tomcat 

=> Done! 

You can now configure to this Tomcat server using: 
admin:aBwNOCNCPckw 





碍 看 映射 的 端口 信息 : 





$ docker ps 

CONTAINER ID IMAGE COMMAND CREATED 
STATUS PORTS NAMES 

3cd4238cb32a tomcat7.0:jdk1.6 "/run.sh" 4 seconds ago 
Up 3 seconds 0.0.0.0:49157->22/tcp, 0.0.0.0:49158->8080/tcp 


cranky_wright 





在 本 地 使 用 浏览 器 登录 Tomcat 管 理 界面 ， 访 问 本 地 的 49158 端 口 ， 
ae ， 如 图 11-3 所 示 。 


Home Documentation Configuration Examples Wiki Mailing Lists Find Help 


pache Tomcat!7,0.56 Th Apache Software Foundatio 


http://Www,apache.org/ 


If you're seeing this, you've successfully installed Tomcat. Congratulations! 


Recommended Reading: Server Status | 


区 Security Considerations HOW-TO ‘www | 
Manager Application HOW-TO e 


Clustering/Session Replication HOW-TO Host Manager | 


™ 


Developer Quick Start 


Tomcat Setup Realms & AAA Serviet Specifications 
First Web Application JDBC DataSources Tomcat Versions 


Managing Tomcat Documentation Getting Help 
For secunty, access to the manager webappis Tomeat 7.0 Documentation FAQ and Mailing Lists 
restricted. Users are defined in: ; Pe: 
Tomcat 7.0 Configuration The following mailing lists are available: 
SCATALINA HOME/conf/toncat users, xul 
Tomcat Wiki 
In Tomcat 7.0 access to the manager amie Important announcements, releases, security 
application is split between different users. Find additional important configuration vulnerability notifications, (Low volume). 
Read more... information in: 





tomcat-users 
$CATALINA.HOME/RUNNING, txt User support and discussion 


图 11-3 ” Tomcat 启动 页 面 


输入 从 docker logs 中 得 到 的 密码 ， 如 图 11-4 所 示 。 


dy REL vow 


和 
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图 11-4 Tomcat% 


成 功 进 入 管理 界面 ， 如 图 11-5 所 示 。 


Ye," Apache 


Software Foundation 
http://www.apache.org/ 


Host aliases Commands 


er | | Host Manager installed - commands disabled 


Aliases: 
App base: 


图 11-5 Tomcat 管理 界面 
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在 实际 环境 中 ， 可 以 通过 使 用 -v 参 数 来 挂 载 Tomcat 的 日 志文 件 、 程 
序 所 在 目录 、 以 及 与 Tomcat 相 关 的 配置 。 


11.4 Jetty 


Jetty 是 一 个 优秀 的 开源 Servlet 容 髓 ， 以 其 高 效 、 小 巧 、 可 磐 入 式 等 
优点 深 得 人 心 ， 它 为 基于 Java 的 Web 内 容 (如 JSP 和 Servlet〉 提供 运行 环 
境 。Jetty 基 于 Java 语 言 编写 ， 它 的 API 以 一 组 JAR 包 的 形式 发 布 。 开 发 人 
员 可 以 将 Jetty 容 器 实例 化 成 一 个 对 象 ， 可 以 迅速 为 一 些 独 立 运行 的 Java 
应 用 提供 Web 服 务 。 





相对 老牌 的 Tomcat，Jetty 架 构 更 合理 ， 性 能 更 优 。 尤 其 在 局 动 速度 
上 ， 让 Tomcat 望 人 尘 英 及 。Jetty 目 前 在 国内 外 互联 网 企业 中 应 用 广泛 。 


DockerHub 官 方 提供 了 Jetty 镜 像 ， 直 接 运 行 docker run 指 令 即 可 : 





$ docker run -d jetty 








使 用 docker ps 指令 查看 正在 运行 中 的 jetty 容 器 : 





$ docker ps 
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS 
f7f1d70f2773 jetty "/docker-entrypoint.b" x ago Up 8080/tcp ene! itras 





当然 ， 还 可 以 使 用 -p 参 数 映 射 运行 端口 : 





$ docker run -d -p 80:8080 -p 443:8443 jetty 
7bC629845e8b953e02e31caaac24744232e21816dcf81568C029eb87507 75733 





使 用 窒 主 机 的 浏览 器 访问 container- “ip: 8080， 即 可 获得 Jetty 运 行 页 
fl, 由 于 当前 A 没有 内 容 ’ 会 提示 错误 信息 © o 


11.5 LAMP 


LAMP (Linux-Apache-MySQL-PHP) 是 目前 流行 的 Web 工具 栈 ， 
其 中 包括 : Linux 操 作 系 统 ，Apache 网 络 服务 器 ，MySQL 数 据 库 ， 
Perl、PHP 或 者 Python 编程 语言 。 其 组 成 工具 均 是 成 熟 的 开源 软件 ， 被 
大 量 网 站 所 采用 。 和 Java/J2EE 架 构 相 比 ，LAMP 有 具有 Web 资 源 丰 富 、 轻 
量 、 快 速 开发 等 特点 ， 和 微软 的 .NET 架 构 相 比 ，LAMP 更 具有 通用 、 跨 
平台 、 高 性 能 、 低 价格 的 优势 。 因 此 LAMP 无 论 是 在 性 能 、 质 量 还 是 价 
格 方面 都 是 企业 搭建 网 站 的 首选 平台 。 





m 


Linux Apache MySQL PHP Perl Python 





提示 


现在 也 有 人 用 Nginx 蔡 换 Apache， 称 为 LNMP 或 LEMP， 但 并 不 影响 
整个 框架 的 选 型 原则 ， 是 彼此 十 分 类 似 的 技术 栈 。 


可 以 使 用 自 定 义 Dockerfile 或 者 Compose 方 式 运行 LAMP， 同 时 社区 


也 提供 了 十 分 成 熟 的 linode/lamp 和 tutum/lamp 镜 像 。 下 面 介 绍 后 两 种 方 
es 


1. 使 用 linode/lamp 镜 像 


首先 ， 执 行 docker run 指令 ， 直 接 运 行 镜 像 ， 并 进入 容器 内 部 bash 
shell: 





$ docker run -p 80:80 -t -i linode/lamp /bin/bash 
Pate Seaec enable. /# 





在 容器 内 部 shell 启 动 apache 以 及 mysql 服 务 : 





$ root@e283cc3b2908:/# service apache2 start 
* Starting web server apache2 
$ root@e283cc3b2908:/# service mysql start 
* Starting MySQL database server mysqld [ OK ] 
* Checking for tables which need an upgrade, are corrupt or were not closed cleanly. 





此 时 镜像 中 apache、mysql 服 务 已 经 启动 ， 可 使 用 docker ps 指令 查看 
运行 中 的 容器 : 





$ docker ps -aCONTAINER ID IMAGE COMMAND CREATED STATUS PORTS 
NAMESe283cc3b2908 linode/lamp "/bin/bash" x ago Up x seconds 0.0.0.0:80-> 
80/tcp trusting_mestorf 





此 时 通过 浏览 器 访问 本 地 80 端 口 即 可 看 到 默认 页 面 。 
2. 使 用 tutum/lamp 镜 像 
首先 ， 执 行 docker run 指 令 ， 直 接 运 行 镜像 : 





$ docker run -d -p 80:80 -p 3306:3306 tutum/lamp 





容器 启动 成 功 后 ， 打 开 浏 览 嚣 ， 访 问 demo 页 面 : 


ea! [) 192.168,99.100 


为 tutum 


Hello world! 
MySQL Server version: 5.5.47-Oubuntud.14.04.1 





图 11-6 LAMP 容 器 Demo 页 面 


11.6 CMS 


内 容 管 理 系统 〈Content Management System, CMS) 指 的 是 提供 内 
容 编 辑 服务 的 平台 程序 。CMS 可 以 让 不 懂 编 程 的 用 户 方便 又 轻松 地 发 
布 、 更 改 和 管理 各 类 数字 内 容 《〈 主 要 以 文本 和 图 像 为 主 ) 。 


下 面 ， 笔 者 将 以 Wordpress 和 Ghost 两 个 流行 的 CMS 软件 为 例 ， 介 绍 
如 何 制 作 和 使 用 对 应 的 Docker 镜 像 。 
11.6.1 WordPress 


WordPress 是 风 库 全 球 的 开源 内 容 管理 系统 ， 是 博客 、 企 业 官 网 、 
产品 首页 等 内 容 相 关乎 台 的 主流 实现 方案 之 一 。 类 似 项 目 还 有 Drupal、 
Joomla、Typo3 等 。 








WordPress 基 于 PHP 和 MySQL， 架 构 设 计 简单 明了 ， 文 持 主题 ， 插 
件 和 各 种 功能 模块 。 更 重要 的 是 ，WordPress 拥 有 庞大 的 社区 ， 在 线 资 
源 非常 丰富 ， 并 且 在 各 大 网 络 空间 商 和 云 平台 中 受到 广泛 的 支持 。 根 据 
2013 年 8 月 的 统计 数据 ， 流 量 排名 前 一 千 万 的 网 站 中 其 使 用 率 高 达 
22%. 


1. 使 用 官方 镜像 
首先 ， 通 过 Docker Hub 下 载 官 方 wordpress 镜 像 : 














$ docker pull wordpress 





然后 ， 就 可 以 创建 并 运行 一 个 wordpress 容 器 ， 并 连接 到 mysq] 容 


Ba 





$ docker run --name some-wordpress --link some-mysql:mysql -d wordpress 





同样 ， 用 户 可 以 使 用 -p 参 数 来 进行 问 口 映射 : 





$ docker run --name Some-wordpress --link some-mysql:mysql -p 8080:80 -d wordpress 





启动 成 功 后 ， 可 在 浏览 器 中 访问 http:/localhost:8080 来 打开 
WordPress 页面。 


2. 使 用 Compose 搭 建 WordPress 应 用 
可 以 使 用 Compose 来 一 键 搭建 WordPress 应 用 。 
首先 ， 新 建 docker-compose.yml 文 件 : 





wordpress: 
image: wordpress 
links: 
- db:mysql 
ports: 
- 8080:80 
db: 
image: mariadb 
environment: 
MYSQL_ROOT_PASSWORD: example 





然后 执行 : 





$ docker-compose up 








提示 


如 果 提 示 没 有 docker-compose 命 令 ， 可 以 通过 pip install docker- 
compose 来 在 线 安装 。 


竺 服务 启动 后 ， 即 可 打开 浏览 器 访问 本 地 80 端 口 打 开 WordPress 配 
置 界 面 ， 如 图 11-7 所 示 。 


[À 192.168.99.100:8080/wp-admin/install,ohp 


Welcome 


Welcome to the famous five-minute WordPress installation process! just fill in the information below and 
you'll be on your way to using the most extendable and powerful personal publishing platform in the world. 


Information needed 





Please provide the following information, Don't worry, you can always change these settings later, 





Username 


Usernames can have only alphanumeric characters, spaces, underscores, hyphens, periods, and the 
@ symbol, 


foT#n0W%q%qrg@pg5 Ø Hide 


Important: You will need this password to log in. Please store it in a secure location. 





Your Email 


Double-check your email address before continuing. 


Search Engine O Discourage search engines from indexing this site 
Visibility Itis up to search engines to honor this request, 


Install WordPress 





图 11-7 WordPress 容 器 启动 页 面 
11.6.2 Ghost 
Ghost 是 一 个 广 受 欢迎 的 开源 博客 平台 ， 使 用 JavaScript 编 写 ， 以 


MIT 协 议 发 布 。 它 的 设计 非常 人 简约， 使 用 起 来 体验 优异 ， 非 党 适合 做 内 
容 发 布 ， 故 而 受到 很 多 极 客 或 技术 工作 者 的 喜爱 。 


= ghost 


读者 可 以 直接 使 用 Docker Hub 提供 的 官方 Ghost 镜 像 。 直 接 使 用 


docker run 指 令 运 行 : 








= == 二 == 
$ docker run --name ghost-container -d ghost 





至 此 已 经 成 功 局 动 了 一 个 Ghost 容 右 ， 如 图 11-8 所 示 ， 内 含 Ghost 实 
例 并 监听 默认 的 2368 服 务 端 口 。 当 然 可 以 对 服务 进行 端口 映射 ， 如 下 所 
ZN: 





er run --name ghost-container-1 -p 8080:2368 -d ghost 
df116b7d570b3456950f4d7c22ff6911124427d16635080817e884922b491a2d 


C) 192.168.99.100:8080 


Ghost 


Just a blogging platform. 


Welcome to Ghost 


You're live! Nice, We've put together a little post to introduce you to the Ghost editor 
and get you started. You can manage your content by » 


Ghost Owner on Getting Started | 23 MAY 2016 


Page 1 of 1 





图 11-8 ”Ghost 容器 启动 页 面 








读者 还 可 以 挂 载 书 有 的 内 容 到 Ghost 容器 入: 





$ docker run --name some-ghost -v /path/to/ghost/blog:/var/lib/ghost ghost 





11.7 持续 开发 与 管理 


信息 行业 日 新 月 异 ， 如 何 啊 应 不 断 变 化 的 需求 ， 快 速 适应 和 保证 软 
件 的 质量 ? FFER (Continuous integration, CI) 正 是 针对 这 类 问题 的 
一 种 开发 实践 ， 它 倡导 开发 团队 定期 进行 集成 验证 。 集 成 通过 自动 化 的 
构建 来 完成 ， 包 括 自动 编译 、 发 布 和 测试 ， 从 而 尽快 地 发 现 错 误 。CI 所 
描述 的 软件 开发 是 从 原始 需求 识别 到 最 终 产 品 部 署 整 个 过 程 中 ， 需 求 以 
小 批量 形式 在 团队 的 各 个 角色 间 顺 畅 流 动 ， 能 够 以 较 短 地 周期 完成 需求 
的 小 粒度 频繁 交付 。 整 个 过 程 中 ， 需 求 分 析 、 产 品 的 用 户 体 验 和 交互 设 
计 、 开 发 、 测 试 、 运 维 等 角色 需要 密切 协作 。 


持续 集成 特点 包括 : 从 检 出 代码 、 编 译 构建 、 运 行 测试 、 结 果 记 
录 、 测 试 统计 等 都 是 自动 完成 的 ， 减 少 人 工 干预 。 需 要 有 持续 集成 系统 
的 文 持 ， 包 括 代 码 托管 机 制 文 持 ， 以 及 集成 服务 需 等 。 


持续 交付 (Continuous delivery, CD) 则 是 经 典 的 敏捷 软件 开发 方 
法 的 上 自然 延伸 ， 它 强调 产品 在 修改 后 到 部 署 上 线 的 流程 要 敏捷 化 、 自 动 
化 。 甚 至 一 些 较 小 的 改变 也 要 今 早 的 部 署 上 线 ， 这 跟 传统 软 件 在 较 大 版 
本 更 新 后 才 上 线 的 思想 不 同 。 


11.7.1 Jenkins 


Jenkins 是 一 个 得 到 广泛 应 用 的 持续 集成 和 持续 交付 的 工具 。 作 为 开 
源 软 件 项 目 ， 它 则 在 提供 一 个 开放 易 用 的 持续 集成 平台 。Jenkins 能 实时 
监控 集成 中 存在 的 错误 ， 提 供 详 细 的 日 志文 件 和 提醒 功能 ， 并 用 图 表 的 
形式 形象 地 展示 项 目 构 建 的 趋势 和 稳定 性 。Jenkins 特 点 包括 安装 配置 简 
单 、 文 持 详细 的 测试 报表 、 分 布 式 构建 等 。 





























目 2.0 版 本 ，Jenkis 推 出 了 Pipeline as Code， 帮助 Jenkins 实 现 对 CI 和 
CD 更 好 的 文 持 。 通 过 Pipeline， 将 原本 独立 运行 的 多 个 任务 连接 起 来 ， 
可 以 实现 十 分 复杂 的 发 布 流程 ， 如 图 11-9 所 示 。 





Development 





图 11-9 Jenkins Pipeline 示 意图 





Jenkins 官 方 在 Docker Hub 上 提供 了 全 功能 的 基于 官方 发 布 版 的 
Docker 镜 像 。 读 者 可 以 方便 地 使 用 docker run 指 令 一 键 部 署 Jenkins 服 
务 ， 如 下 所 示 : 





$ docker run -p 8080:8080 -p 50000:50000 jenkins 





Jenkins 容 器 启动 成 功 后 ， 可 以 打开 浏览 器 访问 8080 端 口 ， 查 看 
Jenkins 管 理 界面 ， 如 图 11-10 所 示 。 





€ 3 C | 192.168.99.100:8080 


$ Jenkins 


Jonking v > ENABLE AUTO REFRESH 





E New tem peaa 
& Poopo Welcome to Jenkins! 


È Bul Hitoy 
X Manage Jerkins Please create new jobs 1 get stated, 


À Credentials 


Bulld Quouo 


No builds in tho quouo, 





图 11-10 ”Jenkins 服 务 管理 界面 


目前 运行 的 容器 中 ， 数 据 会 存储 在 工作 目录 /var/jenkins_home 中 ， 
这 包括 Jenkins 中 所 有 的 数据 ， 包 括 插件 和 配置 信息 等 。 如 果 需 要 数据 持 
久 化 ， 读 者 可 以 使 用 数据 卷 机 制 |: 

















$ docker run -p 8080:8080 -p 50000:50000 -v /your/home:/var/jenkins_home jenkins 





以 上 指令 会 将 Jenkins 数 据 存 储 于 和 宿主 机 的 /your/home 目 录 〈 需 要 确 
保 /your/home 目 录 对 于 容器 内 的 Jenkins 用 户 是 可 访问 的 ) 下。 当然 也 可 
以 使 用 数据 着 容器: 








$ docker run --name myjenkins -p 8080:8080 -p 50000:50000 -v /var/jenkins_home jenkins 





11.7.2 Gitlab 


Gitlab — aK E RATS BERS C FAT Git VS 
管理 、 代 码 评审 、issue 跟 踪 、 活 动 管理 、wiki 页 面 ， 持 续集 成 和 测试 等 


E。 基 于 Gitlab， 用 户 可 以 自己 搭建 一 套 类 似 Github 的 开发 协同 平 


y GitLab 


Gitlab 官 方 提供 了 社区 版 本 (Gitlab CE) 的 DockerHub 镜 像 。 读 者 可 
以 直接 使 用 docker run 指 令 运行 





$ docker run --detach \ 
--hostname gitlab.example.com \ 
--publish 443:443 --publish 80:80 --publish 23:23 \ 
--name gitlab \ 
--restart always \ 
--volume /srv/gitlab/config:/etc/gitlab \ 
--volume /srv/gitlab/logs:/var/log/gitlab \ 
--volume /srv/gitlab/data:/var/opt/gitlab \ 
itlab/gitlab-ce:latest 
dbae485d24492f 656d2baf18526552353cd55aac662e32491046ed7 fa033be3a 








成 功 运行 镜像 后 ， 读 者 可 以 打开 浏览 器 ， 访 问 Gitlab 服 务 管理 界 
面 ， 如 图 11-11 所 示 。 


192.188.90100jusrs/passordedteset password, okenscs2vBC8LoLxqgcunhkT 


y 


Please createa password for your new account, 


GitLab Community Edition 


Change your password 





Open source software to collaborate on code New pasword 





Manage git repositories with fine grained access controls that keep Confirm new password 





your code secure, Perform code reviews and enhance collaboration 


with merge requests, Each project can also have an issue tracker and a 


wiki, 





Didn't receive confirmation instructions? 


Already have login and password? Sign in 








Explore Help AboutGitLab 


图 11-11 ”Gitlab 服 务 管理 界面 


11.8 ”本章 小 结 


本 章 自 先 介 绍 了 常见 的 Web 服 务工 具 ， 包 括 Apache、Nginx、 
Tomcat、Jetty， 以 及 大 名 易 易 的 LAMP 组 合 。 之 后 还 对 目前 流行 的 内 容 
管理 系统 、 持 续 开 发 模式 和 工具 的 快速 部 车 进行 了 讲解 。 通 过 这 些 例 
子 ， 读 者 可 以 快速 入 门 Web 开 发 ， 并 再 次 体验 到 基于 容器 模式 的 开发 和 
部 区 模式 的 强大 。 


笔者 认为 ， 包 括 Web 服 务 在 内 的 中 间 件 领域 十 分 适合 引入 容器 技 
术 ， 原 因 如 下 : 


中间 件 服务 器 是 除数 据 库 服务 器 外 的 主要 计算 节点 ， 很 容易 成 为 
o a a a 
AR LA; 


中 间 件 服务 器 结构 清晰 ， 在 剥离 了 配置 文件 、 日 志 、 代 码 目 录 之 
后 ， 容 器 几乎 可 以 处 于 零增长 状态 ， 这 使 得 容器 的 迁移 和 批量 部 署 更 加 
方便 ， 


:中间 件 服务 器 很 容易 实现 集群 ， 在 使 用 人 硬件 的 F5、 软 件 的 Nginx 等 
负载 均衡 后 ， 中 间 件 服务 器 集群 变 得 非常 容易 。 


在 实践 过 程 中 ， 读 者 需要 注意 数据 的 持久 化 。 对 于 程序 代码 、 程 序 
的 资源 目录 、 日 志 、 数 据 库 文 件 等 需要 实时 更 新 的 数据 一 定 要 通过 -v 参 
数 映 射 到 和 宿主 主机 的 目录 中 来 ， 避 免 发 生 数 据 丢 失 和 带 来 性 能 下 降 。 

















第 12 草 ”数据库 应 用 


i 目前 ， 主 流 数据 库 包 括 关系 型 (SQL ) 和 非 关 系 型 (NoSQL ) 两 
种 。 


关系 数据 库 是 建立 在 关系 模型 基础 上 的 数据 库 ， 借 助 于 集合 代数 等 
数学 概念 和 方法 来 处 理 数 据 库 中 的 数据 ， 文 持 复 杂 的 事物 处 理 和 结构 化 
查询 。 代 表 实 现 有 MySQL、Oracle、PostGreSQL、MariaDB、 
SQLServer 等 。 


非 关 系数 据 库 是 新 兴 的 数据 库 技 术 ， 它 放弃 了 传统 关系 型 数据 库 的 
部 分 强 一 致 性 限制 ， 市 来 性 能 上 的 提升 ， 使 其 更 适用 于 需要 大 规模 并 行 
处 理 的 场景 。 非 关系 型 数据 库 是 关系 型 数据 库 的 民 好 补充 ， 代 表 产 品 有 
MongoDB、Redis、CouchDB 等 。 

















本 章 选 取 了 最 具 代 表 性 的 Mysql、Mongodb、Redis、Memcached、 
CouchDB、Cassandra 等 数据 库 软 件 ， 来 讲解 基于 Docker 创 建 相关 镜像 并 
进行 应 用 的 过 程 。 


12.1 MySQL 


MySQL 是 全 球 最 流行 的 开源 的 开源 关系 数据 库 软件 之 一 ， 因 为 其 
高 性 能 、 成 熟 可 靠 和 适应 性 而 得 到 广泛 应 用 。MySQL 目前 在 不 少 大 规 
模 网 站 和 应 用 中 被 使 用 ， 比 如 Facebook、Twitter 和 Yahoo! 等 。 





使 用 官方 镜像 可 以 快速 启动 一 个 MySQL Server 实 例 ， 如 下 所 示 : 





$ docker run --name hi-mysql -e MYSQL_ROOT_PASSWORD=123 -d mysql:latest 
e6cb906570549812c798b7b3ce46d669a8a4e8ac62a3Ff3c8997e4C53d16301b6 





以 上 指令 中 的 hi-mysql 是 容器 名 称 ，123 为 数据 库 的 root 密 码 。 
使 用 docker ps 指令 可 以 看 到 现在 运行 中 的 容 右 : 





$ docker ps 
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 
e6cb90657054 mysql "docker-entrypoint.sh" 4 minutes ago Up 3 minutes 3306/tcp hi-mysql 





当然 ， 还 可 以 使 用 --link 标 签 将 一 个 应 用 容器 连接 至 MySQL 容 器 : 





$ docker run --name some-app --link some-mysql:mysql -d application-that-uses-mysql 





P 口 是 3306， 用 户 可 以 通过 CLI 工 具 对 配置 进行 





$ docker run -it --link some-mysql:mysql --rm mysql sh -c ‘exec mysql -h"$MYSQL_ 
PORT_3306_TCP_, _ADDR" -P"$MYSQL_PORT_3306_TCP_PORT" -uroot -p"$MYSQL_ENV_MYSQL_ 
ROOT_PASSWORD" 





官方 MySQL 镜 像 还 可 以 作为 客户 端 ， 连 接 非 Docker 或 者 远程 的 
MySQL 实 例 : 





$ docker run -it --rm mysql mysql -hsome.mysql.host -usome-mysql-user -p 





1. 系 统 与 日 志 访 问 


用 户 可 以 使 用 docker exec 指 令 调 用 内 部 系统 中 的 bash shell， 以 访问 
Ras AUS A: 





$ docker exec -it some-mysql bash 





MySQL Server 日 志 可 以 使 用 docker logs 指 令 查 看 : 





$ docker logs some-mysql 





2. 使 用 目 定 义 配 置 文件 


如 果 用 户 希 望 使 用 自 定义 MySQL 配 置 ， 则 可 以 创建 一 个 目录 ， 内 
置 cnf 配 置 文件 ， 然 后 将 其 挂 载 至 容器 的 /etomysqlconf.d 目 录 。 比 如 ， 
自 定义 配置 文件 为 /my/custom/config-file.cnf， 则 可 以 使 用 以 下 指令 





$ docke name some-mysql -v /my/custom:/etc/mysql/conf.d -e MYSQL_ROOT_ 
PASSWORD- my-secret-pw -d mysal: tag 





这 是 新 的 容器 some-mysql 启 动 后 ， 就 会 结合 使 用 /etc/mysql/my.cnf 
和 /etc/mysql/conf.d/config-file.cnf 两 个 配置 文件 。 


3. 脱 离 cnf 文 件 进行 配置 


很 多 的 配置 选项 可 以 通过 标签 (flags) 传递 至 mysqld 进 程 。 这 样 用 
户 就 可 以 脱离 cnf 配 置 文件 ， 对 容器 进行 弹性 的 定制 。 比 如 ， 用 户 需 要 
S 将 所 有 表格 的 编码 方式 修改 为 uft8mb4， 则 可 以 使 
用 以 下 指令 





$ docker run -- some-mysql -e MYSQL_| ROOT_| PASSWORD=m ny- secret- pw -d m mys ql:tag 
-cha ee utf8mb4 --collation-server=utf8mb4_unicode_ 





如 果 需 要 查看 可 用 选项 的 完整 列表 ， 可 以 执行 





$ docker run -it --rm mysql:tag --verbose --help 





12.2 MongoDB 


MongoDB 是 一 球 可 扩展 、 局 性 能 的 开源 文档 数据 库 ， 是 当今 最 流 
行 的 NoSQL 数 据 库 软 件 之 一 。 它 采用 C++ 开发 ， 文 持 复杂 的 数据 类 型 和 
强大 的 碍 询 语言 ， 提 供 了 关系 数据 库 的 绝 大 部 分 功能 。 由 于 MongoDB 
易 部 团 、 吻 使 用 等 特点 ， 已 经 在 很 多 领域 都 得 到 了 广泛 的 应 








mongoDD 


12.2.1 使 用 官方 镜像 
用 户 可 以 使 用 docker run 指 令 直 接 运 行 官 方 mongodb 镜 像 : 











$ docker run --name mongo-container -d mongo 
ade2b5036f457a6a2e7574fd68cf7a3298936f27280833769e93392015512735 








V 


之 后 ， 可 以 通过 docker ps 指令 得 看 正在 运行 的 nongo-container 容 器 
的 容 需 ID: 





$ docker ps 


CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS 
NAMES 

ade2b5036f45 mongo "/entrypoint.sh mongo" 1 hours ago Up 22 hours 27017/tcp 
mongo-container 





在 此 mongo 容 器 局 动 一 个 bash 进 程 ， 并 通过 mongo 指 令 启 动 mongodb 
交互 命令 行 ， 再 通过 db.stats() 指 令 查 看 数据 库 状态 : 





$ docker exec -it ade2b5036f45 sh 
# mongo 

MongoDB shell version: 3.2.6 
connecting to: test 

> show dbs 

local 0©.000GB 

> db.stats() 


"db" : "test" 
: ' 

"collections" : 1, 

"objects" : 1, 

"avgObjSize" : 39, 

"dataSize" : 39, 

"storageSize" : 16384, 

r 


"numExtents" : 0 
"indexes" : 1, 
"indexSize" : 16384, 
"ok" +1 











这 里 用 户 可 以 通过 env 指 令 查 看 环境 变量 的 配置 : 





root@ade2b5036f45:/bin# env 

HOSTNAME=ade2b5036f45 

MONGO_VERSION=3.2.6 

PATH=/usr/local/sbin: /usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin 

GPG_KEYS=DFFA3DCF326E302C4787673A01C4E7FAAAB2461C 42F3E95A2C4F08279C4960ADD 
68FASOFEA312927 

PWD=/bin 

SHLVL=1 

HOME=/root 

MONGO_MAJOR=3. 2 

GOSU_VERSION=1.7 

_=/usr/bin/env 

OLDPWD=/ 





镜像 默认 暴露 了 mongodb 的 服务 端口 : 27017， 可 以 通过 该 端口 访 
问 服务 。 


1. 连 接 mongodb 容 器 
使 用 --link 参 数 ， 连 接 新 建 的 mongo-container 容 器 : 





$ docker run -it --link mongo-container:db alpine sh 
/#41s 





进入 alpine 系 统 容 器 后 ， 用 户 可 以 使 用 ping 指 令 测 试 redis 容 器 的 连通 
性 : 





/ # ping db 
PING db (172.17.0.5): 56 data bytes 

64 bytes from 172.17.0.5: Seq=0 ttl=64 time=0.093 ms 
64 bytes from 172.17.0.5: Seq=1 ttl=64 time=0.104 ms 
AC 

--- db ping statistics - 
2 packets transmitted, 2 
round-trip min/avg/max = 


packets received, 0% packet loss 
0.093/0.098/0.104 ms 





2. 直 接 使 用 mongo cl 指令 


如 果 想 直接 在 宿主 机 器 上 使 用 mongodb 镜 像 ， 可 以 在 docker run 指 令 
后 面 加 入 entrypoint 指 令 ， 这 样 就 可 以 非 营 方便 的 直接 进入 mongo cli 了 。 





docker run -it --link mongo-container:db --entrypoint mongo mongo --host db 
db.version(); 
2.6 


db.stats(); 


AVWV & 


"db" : "test", 
"collections" : 0, 
"objects" : 0, 
"avgObjSize" : 0, 
"dataSize" : 0, 
"storageSize" : 0, 
"numExtents" : 0, 
"indexes" : 0, 
"indexSize" : 0, 
"fileSize" : 0, 
"ok" 22 


> show dbs 
local 0©.000GB 





最 后 ， 还 可 以 使 用 --storageEngine 人 参数 来 设置 储存 引擎 ; 





$ docker run --name mongo-container -d mongo --storageEngine wiredTiger 





12.2.2 {&A A XDockerfile 


3 首先 是 准备 工作 。 新 建 项 目 目录 ， 并 在 根 目录 新 建 Dockerfile， 内 
容 如 下 : 














# 设置 从 用 户 之 前 创建 的 sshd 镜 像 继承 。 
FROM sshd 
MAINTAINER docker_user (user@docker .com) 
RUN apt-get update && \ 
apt-get install -y mongodb pwgen && \ 
apt-get clean && \ 
rm -rf /var/lib/apt/lists/* 
# 创建 nongodb 存 放 数 据 文件 的 文件 夹 
RUN mkdir -p /data/db 
VOLUME /data/db 
ENV AUTH yes 
# 添加 脚本 
ADD run.sh /run.sh 
ADD set_mongodb_password.sh /set_mongodb_password.sh 
RUN chmod 755 ./*.sh 
EXPOSE 27017 
EXPOSE 28017 
CMD ["/run.sh"] 








二 一 


新 建 set_mongodb_password.sh 肢 本。 此 脚本 主要 负责 配置 数据 库 的 
用 户 名 和 密码 : 





#!/bin/bash 

# 这 个 脚本 主要 是 用 来 设置 数据 库 的 用 户 名 和 密码 。 

# 判断 是 否 已 经 设置 过 密码 。 

if [ -f /.mongodb_password_set ]; then 
echo "MongoDB password already set!" 
exit 0 

















fi 
/usr/bin/mongod --smallfiles --nojournal & 
PASS=${MONGODB_PASS: -$(pwgen -s 12 1)} 
_word=$( [ ${MONGODB_PASS} ] && echo "preset" || echo "random" ) 
RET=1 
while [[ RET -ne 0 ]]; do 
echo "=> Waiting for confirmation of MongoDB service startup" 
sleep 5 
mongo admin --eval "help" >/dev/null 2>&1 
RET=$? 
done 
# 通过 docker logs + id 可 以 看 到 下 面 的 输出 。 
echo "=> Creating an admin user with a ${_word} password in MongoDB" 
mongo admin --eval "db.addUser({user: ‘admin', pwd: '$PASS', roles: 
[ 'userAdminAnyDatabase', 'dbAdminAnyDatabase' ]});" 
mongo admin --eval "db.shutdownServer();" 
echo "=> Done!" 
touch /.mongodb_| password set 
echo " 
echo "You can now connect to this MongoDB server using: 
echo "" 
echo " mongo admin -u admin -p $PASS --host <host> --port <port>" 
echo mn 
echo "Please remember to change the above password as soon as possible" 
echo " 











新 建 rn.sh， 此 脚本 是 主要 的 mongodb 月 动 脚本 : 





#!/bin/bash 
if [ ! -f /.mongodb_password_set ]; then 
/set_mongodb_password.sh 
fi 
if [ "$AUTH" == "yes" ]; then 
这 里 读者 可 以 自己 设 定 Mongodb 的 启动 参数 。 

export mongodb='/usr/bin/mongod --nojournal --auth --httpinterface --rest' 
else 

export mongodb='/usr/bin/mongod --nojournal --httpinterface --rest' 


if [ ! -f /data/db/mongod.lock ]; then 

eval $mongodb 
else 

export mongodb=$mongodb' --dbpath /data/db' 

rm /data/db/mongod. lock 

mongod --dbpath /data/db --repair && eval $mongodb 
fi 





第 二 步 ， 使 用 docker build 指 令 构建 镜像 : 





$ docker build -t mongodb-image . 








D 


第 三 步 ， 局 动 后 人 台 容 器 ， 并 分 别 映射 27017 和 28017 端 口 到 本 地 : 





$ docker run -d -p 27017:27017 -p 28017:28017 mongodb 





通过 docker logs 来 得 看 默认 的 admin 帐 户 密码 : 





$ docker logs Sa9 
You can now connect to this MongoDB server using: 
mongo admin -u admin -p 5elsT6KtjrqVv --host <host> --port <port> 
Please remember to change the above password as soon as possible! 





屏幕 输出 中 的 5elsT6KtjrqV 就 是 admin 用 户 的 密码 。 
也 可 以 利用 环境 变量 在 容器 启动 时 指定 密码 : 








$ docker run -d -p 27017:27017 -p 28017:28017 -e MONGODB_PASS="mypass" mongodb 





甚至 ， 设 定 不 需要 密码 即 可 访问 : 





$ docker run -d -p 27017:27017 -p 28017:28017 -e AUTH=no mongodb 





同样 ， 读 者 也 可 以 使 用 -v 参 数 来 映 冉 本 地 目录 到 容 右 。 


12.3 Redis 


Redis 是 一 个 开源 〈BSD 许 可 ) 的 基于 内 存 的 数据 结构 存储 系统 ， 
可 以 用 作 数 据 库 、 绥 存 和 消息 中 间 件 。 


Redis 使 用 ANSI C 实 现 ，2013 年 起 由 Pivotal 公 司 资助 。Redis 的 全 称 
意 为 REmote DIctionary Server。 





通过 docker run 指 令 可 以 直接 启动 一 个 redis-container 容 器 : 





$ docker run --name redis-container -d redis 
6f7d16f298e9c505f35ae28b61b4015877a5b0b75c60797fa4583429e4a14e24 








之 后 可 以 通过 docker ps 指令 查看 正在 运行 的 redis-container 容 器 的 容 
圳 ID: 





$ docker ps 

CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS 
NAMES 

6f7d16f298e9 redis "docker-entrypoint.sh" 32 seconds ago Up 31 seconds 6379/tcp 
redis-container 





在 此 redis 容 器 局 动 bash， 并 查看 容 费 的 运行 时 间 和 内 存 状 况 : 





$ docker exec -it 6f7d16f298e9 bash 

root@6f7d16f298e9:/data# uptime 

12:26:19 up 20 min, © users, load average: 0.00, 0.04, 0.10 
root@6f7d16f298e9:/data# free 


total used free shared buffers cached 
Mem: 1020096 699280 320816 126800 50184 527260 
-/+ buffers/cache: 121836 898260 
Swap: 1181112 0 1181112 











同样 可 以 通过 env 指 令 查 看 环境 变量 的 配置 : 





root@6f7d16f298e9:/data# env 

HOSTNAME=6f7d16f298e9 
REDIS_DOWNLOAD_URL=http://download.redis.io/releases/redis-3.0.7.tar.gz 
PATH=/usr/local/sbin: /usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin 
PwD=/data 

SHLVL=1 

HOME=/root 
REDIS_DOWNLOAD_SHA1=e56b4b7e033ae8dbf311f9191cf6fdf3ae974d1ic 
REDIS_VERSION=3.0.7 

GOSU_VERSION=1.7 

_=/usr/bin/env 











也 可 以 通过 ps 指令 查看 当前 容器 运行 的 进程 信息 : 





root@6f7d16f298e9:/data# ps -ef 


UID PID PPID C STIME TTY TIME CMD 
redis 未 0 9 12:16 ? 00:00:02 redis-server *:6379 
root 30 0 0 12:51 ? 00:00:00 sh 


root 39 30 GG 12:52 ? 00:00:00 ps -ef 





1. 连 接 redis 容 器 
用 户 可 以 使 用 --link 参 数 ， 连 接 创 建 的 redis-container 容 右 : 





$ docker run -it --link redis-container:db alpine sh 
/ # 





进入 alpine 系 统 容 器 后 ， 可 以 使 用 ping 指 令 测 试 redis 容 器 : 





/ # ping db 
PING db (172.17.0.2): 56 data bytes 
64 bytes from 172.17.0.2: seq=0 ttl=64 time=0.088 ms 
64 bytes from 172.17.0.2: Seq=1 tt1=64 time=0.103 ms 
-- db ping statistics --- 
2 packets transmitted, 2 packets received, 0% packet loss 
round-trip min/avg/max = 0.088/0.095/0.103 ms 





还 可 以 使 用 nc 指令 ( 即 NetCat) 检测 redis 服 务 的 可 用 性 : 





/ # nc db 6379 
PING 


+PONG 





官方 镜像 内 也 目 带 了 redis 客 户 站 ， 可 以 使 用 以 下 指令 直接 使 用 : 





$ docker run -it --link redis-container:db --entrypoint redis-cli redis -h db 
db:6379> ping 
NG 


PO 
db:6379> set 1 2 


OK 
db:6379> get 1 
Non 





2. 使 用 目 定 义 配 置 
可 以 通过 数据 卷 实现 自 定义 redis 配 置 ， 如 下 所 示 : 








$ docker run -v /myredis/conf/redis.conf:/usr/local/etc/redis/redis.conf --name 
myredis redis redis-server /usr/local/etc/redis/redis.conf 





Memcached 是 一 个 高 性 能 、 分 布 式 的 开源 内 存 对 象 缓存 系统 。 最 初 
是 Danga Interactive 为 了 优化 LiveJournal 的 访问 速度 而 编写 的 。 目 前 已 经 
非常 广泛 的 应 用 于 各 种 Web 应 用 中 。 以 BSD license 授 权 协 议 发 布 。 








Memcached 秆 护 进程 基于 C 语 言 实现 ， 基 于 libevent 的 事件 处 理 可 以 
实现 很 高 的 性 能 。 需 要 注意 的 是 ， 由 于 数据 仅 存 在 于 内 存 中 ， 因 此 重 局 
Memcached 或 重 局 操作 系统 会 导致 数据 全 部 丢失 。 


可 以 直接 通过 官方 提供 的 memcached 镑 像 运行 一 个 memcached- 
container 容 器 : 








$ docker run --name memcached-container -d memcached 
94e957b52be9a254954cddd23d64ba520493519a19c2e548b4e3dd7f41475b2a 





在 docker run 指 令 中 可 以 设 定 memcached server 使 用 的 内 存 大 小 : 





$ docker run --name memcached-container-2 -d memcached memcached -m 64 
bde9544643ac2a43945322c9bde76342dfc55db12875973da83408a8d239f94c 





以 上 指令 会 将 memcached server 的 内 存 使 用 量 设置 为 64MB。 


此 时 ， 用 户 可 以 在 宿主 机 器 直接 telnet 测 试 访问 memcached 容 器 ， 并 
直接 输入 客户 端 命令 





$ telnet 192.168.99.100 11211 
Trying 192.168.99.100. 
Connected to 192.168. 99. ‘100. 
Escape character is '‘]' 

stats 

STAT pid 1 

STAT uptime 19 

STAT time 1462972021 

STAT version 1.4.25 


END 





12.5 CouchDB 


CouchDB 是 一 款 面 向 文档 的 NoSQL 数 据 库 ， 以 JSON 格 式 存储 数 
据 。 它 兼容 ACID， 可 以 用 于 存储 网 站 的 数据 与 内 容 ， 以 及 提供 缓存 
等 。CouchDB 里 文档 域 (Field) 都 是 以 键 值 对 的 形式 存储 的 ， 对 数据 的 
每 次 修改 都 会 得 到 一 个 新 的 文档 修订 号 。 





CouchDB 侧 重 于 AP (可 用 性 和 分 区 容忍 度 ) 。 相 比 之 下 ， 
MongoDB 侧 重 于 CP (一 致 性 和 分 区 容忍 度 ) ，Neo4j 则 提供 了 特有 的 面 
向 图 形 的 结构 。 


可 以 直接 使 用 docker run 指 令 官方 镜像 ， 如 下 所 示 : 


$ docker run -d --name couchdb-container couchdb 


50badad3e71da22b77bfd5522b27aa77299b649560254343d4a0c80c52a37c36 





这 个 镜像 中 CouchDB 的 默认 端口 是 5984， 用 户 可 以 使 用 link 指 令 进 
行 容器 链接 : 





$ docker run --name couchdb-app --link couchdb-container:couch couchdb 





获取 容器 IP 之 后 ， 用 户 可 以 使 用 curl 指 令 ， 通 过 CouchDB API 来 操 
作 CouchDB 容 器 : 





$ curl http://192.168.99.100:5984 
{"couchdb": "Welcome", "uuid":"7298b57db384b931f43bbc8c49e75b53", "version":"1.6.1" 
"vendor": {"name":"The Apache Software Foundation", "version":"1.6.1"}} 





12.6 Cassandra 


Cassandra 是 个 开源 (Apache License 2.0) 的 分 布 式 数 据 库 ， 支 持 分 
散 的 数据 存储 ， 可 以 实现 容错 以 及 无 单 点 故障 等 。Cassandra 在 设计 上 引 
入 了 P2P 技 术 ， 具 备 大 规模 可 分 区 行 存储 能 力 ， 并 支持 Spark、Storm、 
Hadoop 的 集成 。 目 前 Facebook、Twitter、Instagram、eBay、Github、 
Reddit、Netflix 等 多 家 公司 都 在 使 用 Cassandra。 类 似 工 具 还 有 HBase 
Age 











cassandra 


1. 使 用 官方 镜像 
首先 可 以 使 用 docker run 指 令 基于 Cassandra 官 方 镜像 启动 容器 : 











$ docker run --name my-cassandra -d cassandra:latest 
1dde81cddc53322817f8c6e67022c501759d8d187a2de40f1a25710a5f2dfa53 


这 里 的 --name 标 签 指 定 容器 名 称 。cassandra: tag 中 的 标签 指定 版 本 
。 标 签名 称 可 以 参考 官方 仓库 的 标签 说 
: https://hub.docker.com/r/library/cassandra/tags/。 


之 后 用 户 可 以 将 男 一 个 容器 中 的 应 用 与 Cassandra 容 占 连 接 起 来 。 此 
应 用 容器 要 暴露 Cassandra 需 要 使 用 的 端口 〈Cassandra 默 认 服 务 端 口 为 
rpc_port: 9160; CQL 默 认 本 地 服务 端口 为 native_transport_port: 

9042) ， 这 样 就 可 以 通过 容器 link 功 能 来 连接 Cassandra 容 器 与 应 用 容 
器 : 











$ docker run --name my-app --link my-cassandra:cassandra -d app-that-uses-cassandra 





2. 搭 建 Cassandra 集 群 


Cassandra 有 两 种 集群 模式 : 单机 模式 (所 有 实例 集中 于 一 台 机 器 ) 
和 多 机 模式 (实例 分 布 于 多 台 机 器 〉 。 单 机 模式 下 ， 可 以 按照 上 面 描述 
a 如 果 需 要 启动 更 多 实例 ， 则 需要 在 指令 中 配置 首 
实例 信息 : 














$ docker run my-c andra2 -d -e CASSANDRA SEEDS="$(docker inspec 
format= "Ef NSEWO eS ert ngs.IPAddress }}' my-cassandra)" cassandra: test 





其 中 my-cassandra 就 是 首 个 Cassandra ”Server 的 实例 名 称 。 在 这 里 使 
用 了 docker ”inspect 指 令 ， 以 获取 首 个 实例 的 IP 地 址 信息 。 还 可 以 使 用 
docker run 的 --link 标 签 来 连接 这 两 个 Cassandra 实 例 : 





$ docker run --name my-cassandra2 -d --link my-cassandra:cassandra cassandra:latest 





多 机 模式 下 ， 由 于 容器 网 络 基 于 Docker bridge， 所 以 需 
变量 配置 Cassandra Server 容 器 的 也 广播 地 址 〈 即 使 用 -e 标 签 ) 。 假 设 第 
一 台 虚 拟 机 的 IP 是 10.22.22.22， 第 二 台 虚 拟 机 的 人 PP 是 10.23. n Gossip 
端口 是 7000， 那 么 启动 第 一 台 虚 拟 机 中 的 Cassandra 容 器 时 的 指令 如 下 : 





$ docker run --name my-cassandra -d -e CASSANDRA_BROADCAST_ADDRESS=10. 42.42.42 
-p 7000:7000 cassandra:latest 








启动 第 二 台 虚 拟 机 的 Cassandra 容 器 时 ， 同 样 需要 暴露 Gossip 端 口 ， 
并 通过 环境 变量 声明 第 一 台 Cassandra 容 器 的 卫 地 址 : 








$ docker run --name my-cassandra -d -e CASSANDRA_BROADCAST_ADDRESS=10. 43.43.43 
-p 7000:7000 -e CASSANDRA_SEEDS=10.42.42.42 cassandra:latest 





12.7 本 章 小 结 
本 章 讲 解 了 常见 数据 库 软件 镜像 的 使 用 过 程 ， 包 括 MySQL、 


Oracle、MongoDB、Redis、Memcached、CouchDB、Cassandra 等 。 读 
者 通过 本 章 内 容 ， 能 快速 掌握 如 何在 生产 环境 中 部 署 和 使 用 数据 库容 
AF © 

在 使 用 数据 库容 器 时 ， 建 议 将 数据 库 文件 映射 到 宿主 主机 ， 一 方面 
减少 容器 文件 系统 禹 来 的 性 能 损耗 ， 男 一 方面 实现 数据 的 持久 化 。 


阅读 本 章 需 要 对 特定 的 数据 库 的 特性 和 配置 有 一 定 的 基础 知识 ， 建 
议 读者 结合 各 个 数据 库 的 使 用 文档 进行 更 深入 的 学 习 。 

















第 13 章 ”分布 式 处 理 与 大 数据 平台 

分 布 式 系统 和 大 数据 处 理 平台 是 目前 业界 关注 的 热门 技术 。 

本 章 将 重点 介绍 热门 的 消息 队列 中 间 件 RabbitMQ， 分 布 式 任务 处 
理 平 台 Celery， 大 数据 分 布 式 处 理 的 三 大 重量 级 武器 : Hadoop, Spark, 
Storm， 以 及 新 一 代 的 数据 采集 和 分 析 引 擎 Elasticsearch 。 


围 经 如 何 基 于 Docker 快 速 部 普 和 使 用 这 些 工 具 ， 读 者 将 能 学 习 到 相 
天 的 操作 实践 ， 并 能 领略 分 布 式 处 理 技术 在 大 数据 领域 的 重要 用 途 。 

















13.1 RabbitMQ 


RabbitMQ 是 一 个 支持 Advanced Message Queuing 
Protocol (AMQP) 的 开源 消息 队列 实现 ， 由 Erlang 编 写 ， 因 以 高 性 能 、 
高 可 用 以 及 可 伸缩 性 出 名 。 它 文 持 多 种 客户 端 ， 如 : Java, Python, 
PHP、.NET、Ruby、JavaScript 等 。 它 主要 用 于 在 分 布 式 系统 中 存储 和 
转发 消 奶 ， 方 便 组 件 之 间 的 解 厅 ， 消 旦 的 发 送 者 无 需 知道 消 恕 使 用 者 的 
存在 ， 反 之 亦 然 。 


由 ha0bitNU 


AMQP 架 构 中 有 两 个 主要 组 件 : Exchange 和 Queue， 两 者 都 在 服务 
端 ， 又 称 Broker， 由 RabbitMQ 实 现 的 。 客 户 端 通常 有 Producer 和 
Consumer 两 种 类 型 ， 如 图 13-1 所 示 。 


在 使 用 RabbitMQ 过 程 中 需要 注意 的 是 ， 它 将 数据 存储 在 Node 中 ， 
默认 情况 为 hostname。 因 此 在 使 用 docker run 指 令 运行 容器 的 时 候 ， 应 该 
通过 -h/--hostname 参 数 指定 每 一 个 rabbitmq daemon 运 行 的 主机 名 。 这 样 
就 可 以 轻松 地 管理 和 维护 数据 了 : 








d --hostname my-rabbit --name some-rabbit rabbitmq:3 
3f28f6290e05375363ee661151170d37fbc89ada004c3235f02997b711b4cb2b 





Produce | Exchanges Queues Consume 
| | 





KP A Hit (a.k.a. Broker) KPa 


图 13-1 AMQP 架 构 


用 户 使 用 rabbitmqct 工 具 进行 远程 管理 ， 或 路 容器 管理 的 时 候 ， 会 
需要 设置 持久 化 的 cookie。 如 果 需 要 了 解 天 于 Erlang Cookie 的 信息 ， 可 
以 参见 RabbitMQ 官 网 的 集群 指南 。 


这 里 可 以 使 用 RABBITMQ_ERLANG_COOKIE 参 数 进行 设置 : 





$ docker run -d --hostname my-rabbit --name some-rabbit -e RABBITMQ_ERLANG_ 
COOKIE='secret cookie here' rabbitmq:3 





使 用 cookie 连 接 至 一 个 独立 的 实例 : 





$ docker run -it --rm --link some-rabbit:my-rabbit -e RABBITMQ ERLANG COOKIE= 
"secret cookie here' rabbitmq:3 bash 

root@f2a2d3d27c75:/# rabbitmqctl -n rabbit@my-rabbit list_users 

Listing users 

guest [administrator] 





同样 ， 用 户 也 可 以 使 用 RABBITMQ_NODENAME 简 化 指令 





$ docker run -it --rm --link some-rabbit:my-rabbit -e RABBITMQ_ERLANG_COOKIE= 
"secret cookie here' -e RABBITMQ_NODENAME=rabbit@my-rabbit rabbitmq:3 bash 

root@f2a2d3d27c75:/# rabbitmqctl list_users 

Listing users 

guest [administrator] 





默认 情况 下 ，rabbitmq 会 安装 并 启动 一 些 管控 插件 ， 如 rabbitmq: 3- 
management。 通 常 可 以 通过 默认 用 户 名 密码 以 及 标准 管控 端口 15672 访 
问 这 些 插件 : 





$ docker run -d --hostname my-rabbit --name some-rabbit rabbitmq:3-management 





用 户 可 以 通过 浏览 器 访问 http://container-ip:15672， 如 果 需 要 从 宿主 
机 外 访问 ， 则 使 用 8080 端 口 : 





$ docker run -d --hostname my-rabbit --name some-rabbit -p 8080:15672 rabbitmq: 
3-management 





如 果 需 要 修改 默认 用 户 名 与 密码 (guest: guest) ， 则 可 以 使 用 
RABBITMQ_DEFAULT_USER 和 RABBITMQ_DEFAULT_PASS 环 境 变 
量 : 





$ docker run -d --hostname my-rabbit --name some-rabbit -e RABBITMQ_DEFAULT_ 
USER=user -e RABBITMQ_DEFAULT_PASS=password rabbitmq:3-management 





如 果 需 要 修改 默认 vhost， 可 以 修改 
RABBITMQ_DEFAULT VHOST 环 境 变 量 : 





$ docker run -d --hostname my-rabbit --name some-rabbit -e RABBITMQ_DEFAULT_ 
VHOST=my_vhost rabbitmq:3-management 





然后 连接 至 daemon: 





$ docker run --name some-app --link some-rabbit:rabbit -d application-that-uses- 
rabbitmq 





用 户 也 可 以 访问 官方 镜像 仓库 ， 并 对 Dockerfile 进 行 更 多 定制 。 


13.2 Celery 


除了 通用 的 消息 队列 外 ， 任 务 队列 在 分 布 式 处 理 中 也 十 分 重要 。 任 
务 队列 的 输入 是 工作 的 一 个 单元 ， 称 为 任务 ， 有 多 个 工作 者 监听 队列 来 
获取 任务 并 执行 。 


O Calen 


Celery ~A fA, Ri m EREIN 〈BSD 许 可 ) 分 
布 式 任务 处 理 系统 ， 专 注 于 实时 处 理 的 任务 队列 管理 ， 同 时 也 支持 任务 
调度 。Celery 基 于 Python 实现 ， 跟 包括 Django、Pyramid、Pylons、 
Flask、Tornado 等 Web 框 染 都 无 颖 集成 ， 有 庞大 的 用 户 与 页 献 者 社区 。 
Celery 可 以 单机 运行 ， 也 可 以 在 多 台 机 器 上 运行 ， 甚 至 可 以 跨越 数据 中 
心 运行 。 


1. 使 用 官方 镜像 


启动 一 个 celery worker， 即 RabbitMQ Broker: 








$ docker run --link some-rabbit:rabbit --name some-celery -d celery:latest 





检查 集群 状态 : 





$ docker run --link some-rabbit:rabbit --rm celery celery status 





启动 一 个 celery worker， 即 Redis Broker: 





$ docker run --link some-redis:redis -e CELERY_BROKER_URL=redis://redis --name 
some-celery -d celery 





检查 集群 状态 : 





$ docker run --link some-redis:redis -e CELERY_BROKER_URL=redis://redis --rm 
celery celery status 





2.48 Fd Celery = 
如 果 用 户 使 用 的 框架 已 有 Celery 库 ， 那 么 使 用 起 来 会 更 方便 。 
下 面 是 Python 中 调用 Celery 的 hello world 程 序 : 





from celery import Celery 
app = Celery('hello', broker='amqp://guest@localhost//' ) 
@app.task 
def hello(): 
return 'hello world' 





13.3 Hadoop 


作为 当今 大 数据 处 理 领 域 的 经 典 分 布 式 平台 ，Apache Hadoop 主 要 
基于 Java 语 言 实现 ， 由 三 个 核心 子 系统 组 成 : HDFS、YARN.、 
MapReduce， 其 中 ，HDFS 是 一 套 分 布 式 文件 系统 ; YARN 是 资源 管理 
系统 ，MapReduce 是 运行 在 YARN 上 的 应 用 ， 负 责 分 布 式 处 理 管理 。 如 
果 从 操作 系统 的 角度 看 ，HDFS 相 当 于 Linux 的 ext3/ext4 文 件 系统 ， 而 
Yarn 相 当 于 Linux 的 进程 调度 和 内 存 分 配 模块 。 参 见 图 13-2。 
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图 13-2 Apache Hadoop 生 态 系统 
1. 使 用 官方 镜像 
可 以 通过 docker ”run 指令 运行 镜像 ， 同 时 打开 bash 命 令 行 ， 如 下 所 


bash-4.1# 








N 此 时 可 以 查看 各 种 配置 信息 和 执行 操作 ， 例 如 查看 namenode 日 志 等 


Huey: 





bash-4.1# cat /usr/local/hadoop/logs/hadoop- root -namenode-d4e1e9d8f24f. out 
ulimit -a for user root 

core file size (blocks, -c) 0 

data seg size (kbytes, -d) unlimited 
scheduling priority (-e) 0 

file size (blocks, -f) unlimited 
pending signals (-i) 7758 

max locked memory (kbytes, -1) 64 

max memory size (kbytes, -m) unlimited 
open files (-n) 1048576 

pipe size (512 bytes, -p) 8 

POSIX message queues (bytes, -q) 819200 
real-time priority (-r) 0 

stack size (kbytes, -s) 8192 

cpu time (seconds, -t) unlimited 

max user processes (-u) unlimited 
virtual memory (kbytes, -v) unlimited 
file locks (-x) unlimited 





2. 安 装 验证 


需要 验证 Hadoop 环 境 是 否 安装 成 功 。 打 开 容 喜 的 bash 命 令 行 环境 ， 
进入 Hadoop 目 录 : 





bash-4.1# cd $HADOOP_PREFIXbash-4.1# pwd/usr/local/hadoop 





然后 通过 运行 Hadoop 内 置 的 实例 程序 来 进行 测试 : 





bash-4.1# bin/hadoop jar share/hadoop/mapreduce/hadoop-mapreduce-examples-2.7.0.jar 
grep input output 'dfs[a-z.]+' 

16/08/31 10:00:11 INFO client.RMProxy: Connecting to ResourceManager at /0.0.0.0:8032 

16/08/31 10:00:15 INFO input.FileInputFormat: Total input paths to process : 31 

16/08/31 10:00:16 INFO mapreduce.JobSubmitter: number of splits:31 





最 后 可 以 使 用 hdfs 指 令 检查 输出 结果 : 





bash-4.1# bin/hdfs dfs -cat output/* 





13.4 Spark 


Apache Spark 是 一 个 围绕 速度 、 易 用 性 和 复杂 分 析 构 建 的 大 数据 处 
理 框架 ， 基 于 Scala 开 发 。 最 初 在 2009 年 由 加 州 大 学 伯克利 分 校 的 
AMPLab 开 发 ， 并 于 2010 年 成 为 Apache 的 开源 项 目 之 一 。 





J00 


与 Hadoop 和 Storm 等 其 他 大 数据 和 MapReduce 技 术 相 比 ，Spark 支 持 


更 灵活 的 函数 定义 ， 可 以 将 应 用 处 理 速度 提升 一 到 两 个 数量 级 ， 并 且 提 
供 了 众多 方便 的 实用 工具 ， 包 括 SQL 查询 、 流 处 理 、 机 器 学 习 和 图 处 理 
等 : 


Spark 体 系 架 构 包 括 如 下 三 个 主要 组 件 : 数据 存储 、API、 管 理 框 
架 ， 如 图 13-3 所 示 。 
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图 13-3 Spark 体系 架构 


目前 Spark 推 出 了 2.0 版 本 ， 性 能 大 幅度 提升 ， 并 在 数据 流 方面 退 推 
出 了 很 多 新 功能 。 


13.41 使 用 官方 镜像 


用 户 可 以 使 用 sedquenceiq/spark 镜 像 ， 版 本 方面 文 持 Hadoop 2.6.0, 
Apache Spark v1.6.0 (CentOS) 。 同 时 此 镜像 还 包含 Dockerfile， 有 用户 可 
以 基于 它 构 建 自 定义 的 Apache spark 镜 像 ， 


用 户 使 用 docker pull 指 令 直 接 获 取 镜 像 : 








$ docker pull sequenceiq/spark:1.6.0 
1.6.0: Pulling from sequenceiq/spark 


9d406b080497: Pull complete 
Digest: sha256:64fbdd1la9ffb6076362359c3895d089afc65a533c0ef021ad4ae6da3f8b2a413 
Status: Downloaded newer image for sequenceiq/spark:1.6. 





也 可 以 使 用 docker build 指 令 构 建 spark 镜 像 : 





$ docker build --rm -t sequenceiq/spark:1.6.0 . 





另外， 用 户 在 运行 容器 时 ， 需 要 映 冉 YARN UI 需 要 的 端口 : 





$ docker run -it -p 8088:8088 -p 8042:8042 -h sandbox sequenceiq/spark:1.6.0 bash 
bash-4.1# 





启动 后 ， 可 以 使 用 bash 命 令 行 来 查看 namenode 日 志 等 信息 : 





bash-4.1# cat /usr/local/hadoop/logs/hadoop- root -namenode- sandbox. out 
ulimit -a for user roo 
core file size (blocks, -c) 0 





data seg size (kbytes, -d) unlimited 
scheduling priority (-e 

file size (blocks, -f) cae 
pending signals (-i) 77 

max locked memory (kbytes, -1) A 

max memory size (kbytes, -m) unlimited 
open files (-n) 1048576 
pipe size (512 bytes, -p) 8 

POSIX message queues (bytes, -q) 819200 
real- täne priority -r) 0 

stack si (kbytes, -s) 8192 

cpu Eime (seconds, -t) unlimited 
max user processes (-u) unlimited 
virtual memory (kbytes, -v) unlimited 
file locks (-x) unlimited 





13.4.2 ”验证 


基于 YARN 部 署 Spark 系 统 时 ， 用 户 有 两 种 部 署 方式 可 选 : YARN 客 
户 端 模式 和 YARN 集 群 模式 。 下 面 分 别论 述 两 种 部 署 方式 。 


1.YARN 客 户 端 模式 


在 YARN 客 户 端 模式 中 ，SparkContext (或 称 为 驱动 程序 ，driver 
a 运行 在 客户 端 进程 中 ， 应 用 的 master 仅 处 理 来 自 YARN 的 资源 
管理 请 求 : 





# 运行 spark shell 

spark-shell \ 

--master yarn-client \ 

--driver-memory 1g \ 

--executor- pala 1g \ 

--executor-cores 

# 执行 以 下 指令 ， FRMO ATUN 

scala> sc.parallelize(1 to 1000).count() 





2.YARN 集 群 模式 

在 YARN 集 群 模式 中 ，Spark _ driver 驱动 程序 运行 于 应 用 master 的 进 
程 中 ， 即 由 YARN 从 集群 层面 进行 管理 。 下 面 ， 用 户 以 Pi 值 计 算 为 例 
子 ， 展 现 两 种 模式 的 区 别 : 


Pi 计算 (YARN 和 集群 模式 ) : 














# 执行 以 下 指令 ， 成 功 后 ,日志 中 会 新 增 记录 "Pi is roughly 3.1418" 
# 集群 模式 下 用 户 必须 制定 --files 参 数 ， 以 开启 metrics 
spark-submit \ 

--Class org.apache.spark.examples.SparkPi \ 

--files $SPARK_HOME/conf/metrics.properties \ 

--master yarn-cluster \ 

--driver-memory 1g \ 

--executor-memory 1g \ 

--executor-cores 1 \ 
$SPARK_HOME/1ib/spark-examples-1.6.0-hadoop2.6.0.jar 








Pi 计算 (YARN 客 户 端 模 式 ) : 





# 执行 以 下 指令 ， 成 功 后 ， 命 令 行 将 显示 "Pi is roughly 3.1418" 
spark-submit \ 
--class org.apache.spark.examples.SparkPi \ 
--master yarn-client \ 
--driver-memory 1g \ 
--executor- petite 19 \ 
-executor-cores 
SSPARK_| OME ar examples-1.6.0-hadoop2.6.0.jar 





3. 容 器 外 访问 Spark 


如 果 需 要 从 容器 外 访问 Spark 环 境 ， 则 需要 设置 YARN_CONF_DIR 





环境 变量 。yarm-remote-client 文 件 夹 内 置 远程 访问 的 配置 信息 : 





export YARN_CONF_DIR=" pwd /yarn-remote-client" 











只 能 使 用 根 用 户 访 问 Docker 的 HDFS 环 境 。 当 用 户 从 容器 集群 外 


部 ， 使 用 非 根 用 户 访 问 Spark 环 境 时 ， 则 需要 配置 
HADOOP USER NAME ŠT E: 





export HADOOP_USER_NAME=root 





13.5 Storm 


Apache ”Storm 是 一 个 实时 流 计 算 框 架 ， 由 Twitter 在 2014 年 正式 开 
源 ， 遵 循 Eclipse Public License 1.0。Storm 基 于 Clojure 等 语言 实现 。 


DY stor 


Storm 集 群 与 Hadoop 集 群 在 工作 方式 上 十 分 相似 ， 唯 一 区 别 在 于 
Hadoop 上 运行 的 是 MapReduce 任 务 ， 在 Storm 上 运行 的 则 是 topology。 
MapReduce 任 务 完 成 处 理 即 会 结束 ， 而 topology 则 永远 在 等 竺 消息 并 处 
理 〈 直 到 被 停止 ) 。 


使 用 Compose 搭 建 Storm 集 群 


利用 Docker Compose 模 板 ， 用 户 可 以 在 本 地 单机 Docker 环 境 快 速 地 
搭建 一 个 Apache Storm 集 群 ， 进 行 应 用 开发 测试 。 





1.Storm 示 例 架 构 


Storm 架 构 如 图 13-4 所 示 。 
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Launches workers ”工作 进程 
图 13-4 ”Storm 示 例 架 构 
其 中 包含 如 下 容器 : 
.Zookeeper: Apache Zookeeper 三 节点 部 署 。 
‘Nimbus: Storm Nimbus. 
‘Ui: Storm UI 


‘Supervisor: Storm Supervisor (一 个 或 多 个 ) 。 





‘Topology: Topology 部 罩 工 具 ， 其 中 示例 应 用 基于 官方 示例 storm- 
starter 代 码 构建 。 


2. 本 地 开发 测试 
首先 从 Github 下 载 需要 的 代码 : 





$ git clone https://github.com/denverdino/docker -storm.git 
$ cd docker-swarm/local 





代码 库 中 的 docker-compose.yml 文 件 描述 了 典型 的 Storm 应 用 架构 。 
用 户 可 以 直接 运行 下 列 命 令 构 建 测试 镜像 : 








$ docker-compose build 








现在 可 以 用 下 面 的 命令 来 一 键 部 普 一 个 Storm 应 用 : 





$ docker-compose up -d 





当 UI 容 器 启动 后 ， 用 户 可 以 访问 容器 的 8080 端 口 来 打开 操作 界面 ， 
如 图 13-5 所 示 。 


Ò 192,168,99.100:8080/index.html 


Showing { to 2 of 2 entries 


Topology Summary 


Wane Ower | Status ¢ Uptme | Numworkars Num exact + Num tasks § Replication count $4 Assigned Mem (MB) ¢ Scheduler info § 


Showing 0 to 0 of O entries 


Supervisor Summary 


oo | 
Host 4 Wine so /Uedao = 4 UodMom MB) 4 Verson 
Wii B | 0 100 





图 13-5 Storm UI 
利用 如 下 命令 ， 可 以 伸缩 Supervisor 的 数量 ， 比 如 伸缩 到 3 个 实例 : 





$ docker-compose scale supervisor=3 





用 户 也 许 会 发 现 Web 界 面 中 并 没有 运行 中 的 topology。 这 是 因为 
Docker Compose 目 前 只 能 保证 容器 的 启动 顺序 ， 但 是 无 法 确保 所 依赖 容 
器 中 的 应 用 已 经 完全 启动 并 可 以 被 正常 访问 了 。 


为 了 解决 这 个 问题 ， 需 要 运行 下 面 的 命令 来 再 次 启动 topolgoy 服 务 
应 用 来 提交 更 新 的 拓扑 : 




















$ docker-compose start topology 





稍 后 刷新 Storm UI， 可 以 发 现 Storm 应 用 已 经 部 署 成 功 了 。 


13.6 Elasticsearch 
Elasticsearch 是 一 个 基于 Lucene 的 开源 搜索 服务 器 ， 主 要 基于 Java 实 


现 。 它 提供 了 一 个 分 布 式 的 ， 多 租户 的 全 文 搜索 引擎 ， 内 含 RESTful 
web 接 口 。 


0 elasticsearch. 


Elasticsearch 提 供 了 实时 的 分 布 式 数据 存储 和 分 析 碍 询 功 能 ， 很 容 
易 扩展 到 上 百 台 服务 器 ， 支 持 处 理 PB 级 结构 化 或 非 结 构 化 数据 。 配 合 
Logstash、Kibana 等 组 件 ， 可 以 快速 构建 一 套 对 日 志 消 息 的 分 析 平 合 。 


可 以 使 用 官方 镜像 ， 快 速 运行 Elasticsearch 容 器 : 














$ docker run -d elasticsearch 
937c1cb21b39a322ab6c5697e31af22a5329f08408d40f64e27465fed6597e34 





也 可 以 在 局 动 时 传 入 一 些 额外 的 配置 参数 : 





$ docker run -d elasticsearch elasticsearch -Des.node.name="TestNode" 
2c0ae96f73ca01779c60f7c6103481696c34c510266f5c503610a2640dc6f50a 





目前 使 用 的 镜像 内 含 默 认 配置 文件 ， 包 含 了 预先 定义 好 的 默认 配 
置 。 如 果 用 户 要 使 用 自 定义 配置 ， 可 以 使 用 数据 卷 ， 挂 载 自 定义 配置 文 


件 至 /usr/share/elasticsearch/config: 





$ docker run -d -v "$PWD/config":/usr/share/elasticsearch/config elasticsearch 
43333bfdbbfe156512ba9786577ca807c676f9a767353222c106453020ac7020 





如 果 需 要 数据 持久 化 ， 可 以 使 用 数据 卷 指令 ， 挂 载 


至 /usr/share/elasticsearch/data: 





$ docker run -d -v "$PWD/esdata":/usr/share/elasticsearch/data elasticsearch 
3feddf6a8454534b209b32df06c2d65022d772a8F511593371218fF 6bd064e80e 





此 镜像 会 359200 9300 两 个 默认 的 HTTP 端 口 ， 可 以 通过 此 端口 进 
行 服务 访问 。 9200% mO EY OP HE EARS HAPHE H Ag. 93002m FE 
内 部 通信 端 Lint O, 这 些 j 通信 和 包括， tek, 集群 内 部 信息 同步 。 


13.7 本 章 小 结 


本 章 介 绍 了 分 布 式 处 理 与 大 数据 处 理 领 域 的 典型 热门 工具 ， 包 括 
Rabbitmq、Celery、Hadoop、Spark、Storm 和 Elasticsearch 等 。 这 些 开源 
项 目的 出 现 ， 极 大 降低 了 开发 者 进行 分 布 式 处 理 和 数据 分 析 的 门槛 。 


实际 上 ， 摩 尔 定律 的 失效 ， 必 将 导致 越 来 越 多 的 复杂 任务 必须 采用 
分 布 式 架构 进行 处 理 。 在 新 的 架构 和 平台 下 ， 如 何 实现 高 性 能 、 高 可 用 
性 ， 如 何 让 应 用 容易 开 及 、 方 便 调试 ， 都 是 十 分 复杂 的 问题 。 已 有 的 开 
源 平 台 项 目 提 供 了 很 好 的 实现 参考 ， 方 便 用 户 将 更 多 的 精力 放 到 核心 业 
务 的 维护 上 。 通 过 基于 容器 的 部 普 和 使 用 ， 极 大 简化 了 对 如 此 复杂 系统 
的 使 用 和 维护 。 








第 14 章 ”编程 开发 


本 章 主 要 介绍 如 何 使 用 Docker 快 速 部 署 主流 编程 语言 的 开发 、 编 译 
环境 及 其 常用 框架 ， 包括 C、C++、Java、Python、JavaScript、Go、 
PHP、Ruby、Perl、R、Erlang 等 。 


通过 本 革 学 习 ， 读 者 在 今后 采用 编程 语言 开发 和 测试 时 ， 将 再 也 不 
用 人 花费 大 量 时 间 进 行 环 境 配置 了 ， 只 需 简 单 获 取 容 器 镜像 ， 即 可 快速 拥 
有 相关 的 环境 。 


本 章 内 容 需要 读者 事先 对 相关 语言 的 基础 概念 和 工具 栈 有 所 了 解 ， 
可 自行 但 看 语言 相应 的 技术 文档 。 

















14.1 C/C++ 


C 是 一 门 古 老 的 语言 ， 在 1969 年 由 贝尔 实验 室 设 计 开 发 ， 今 天 仍然 
是 系统 领域 和 高 性 能 计算 的 主要 选择 。C 语 言 具 有 高 效 、 灵 活 、 功 能 
富 、 表 达 力 强 和 较 高 的 可 移植 性 等 特点 。C++ 在 C 的 基础 上 ， 文 持 了 数 
据 的 抽象 与 封装 、 面 向 对 象 和 泛 型 编程 。 功 能 与 性 能 的 平衡 使 C++ 成 为 
了 目前 应 用 最 广泛 的 系统 编程 语言 之 一 。 





本 贡 将 介绍 三 款 流 行 的 CC++ 开 发 工具 ，GCC、LLVM 和 Clang。 


14.1.1 GCC 





GCC (GNU Compiler Collection) 是 一 套 由 GNU 开 发 的 编程 语言 编 
me em SES 也 是 GNU 计 划 
的 关键 部 分 。GCC (特别 是 其 中 的 C 语 言 编译 器 〉 通常 被 认为 是 跨 平 台 
编译 器 的 事实 标准 。 





GCC 可 处 理 C/C++， 以 及 Fortran、Pascal、Objective-C、Java、Ada 
等 多 种 语言 。 


将 C/C++ 代码 运行 在 容器 内 的 最 简 方 法 ， 就 是 将 编译 指令 写 入 
Dockerfile 中 ， 然 后 使 用 此 Dockerfile 构 建 自 定 义 镜像 ， 最 后 直接 运行 此 
镜像 ， 即 可 启动 程序 。 











FROM gcc:4.9 
COPY . /usr/src/myapp 
eee /u usr/src/myapp 

N gee -0 myapp main.c 
CMD ["./myapp"] 





编辑 main.c， 内 容 如 下 : 





#include<stdio.h> 
int main() 


printf("Hello World\n"); 
return 0; 


} 





现在 ， 就 可 以 使 用 Dockerfile 来 构建 镜像 my-gcc-app: 





$ docker build -t gcc-image . 








创建 并 运行 此 容器 ， 会 编译 并 运行 程序 ， 输 出 Hello World 语 句 。 





$ docker run -it --rm --name gcc-container gcc-image 
Hello World 








如 果 只 需要 容器 编译 程序 ， 而 不 需要 运行 它 ， 可 以 使 用 如 下 命令 : 





$ docker run --rm -v "$(pwd)":/usr/src/myapp -w /usr/src/myapp gcc gcc -0 myapp main.c 











以 上 命令 会 将 当前 目录 ("$(pwd)"〉 挂 载 到 容器 的 /usr/src/myapp 目 
录 ， 并 执行 gcc-o myapp myapp.c。GCC 将 会 编译 myapp.c 代 码 ， 并 将 生 
成 的 可 执行 文件 输出 至 /usr/src/myapp 文 件 夹 。 


14.1.2 LLVM 


LLVM (Low Level Virtual Machine) 是 伊利 诺 伊 大 学 的 一 个 研究 项 
目 ， 试 图 提供 一 个 现代 化 的 ， 基 于 SSA 的 编译 策略 ， 同 时 支持 静态 和 动 
态 编程 语言 。 和 之 前 为 大 家 所 熟知 的 JVM 以 及 .net Runtime 这 样 的 虚拟 机 
不 同 ， 这 个 虚拟 系统 提供 了 一 套 中 立 的 中 间 代 码 和 编译 基础 设施 ， 并 围 
绕 这 些 设施 提供 了 一 套 全 新 的 编译 策略 (使 得 优化 能 够 在 编译 、 连 接 、 
运行 环境 执行 过 程 中 ， 以 及 安装 之 后 以 有 效 的 方式 进行 ) 和 其 他 一 些 非 
常 有 意思 的 功能 。 





Docker Hub 中 已 经 有 用 户 提供 了 LLVM 和 镜像， 读者 可 以 直接 下 载 使 
FA, PEAR. 





$ docker pull imiell/1llvm 





14.1.3 Clang 

Clang 是 一 个 由 Apple 公 司 用 C++ 实现 、 基 于 LLVM 的 
C/C++/Objective C/Objective C++ 编译 器 ， 其 目标 就 是 超越 GCC 成 为 标准 
的 C/C++ 编译 器 ， 它 遵循 LLVM BSD 许 可 。Clang 很 好 地 兼容 了 GCC。 

Clang 特 性 包括 : 

AR: 在 OSX 上 的 测试 中 ，Clang 比 GCC 4.0 快 2.5 倍 。 

-内存 占用 小 : Clang 内 存 占用 一 般 比 GCC 要 小 的 多 。 


诊断 信息 可 读 性 强 ，Clang 对 于 错误 的 语法 不 但 有 源码 提示 ， 还 会 
在 错误 的 调用 和 相关 上 下 文 上 有 更 好 的 提示 。 


基于 库 的 模块 化 设计 : Clang 将 编译 过 程 分 成 彼此 分 离 的 几 个 阶 
段 ， 将 大 大 增强 IDE 对 于 代码 的 操控 能 力 。 


在 Docker Hub 中 已 经 有 用 户 提 供 了 Clang 的 镜像 ， 读 者 可 以 直接 下 
载 使 用 : 





$ docker pull bowery/clang 





14.2 Java 


Java 是 一 种 拥有 跨 平 台 、 面 向 对 象 、 泛 型 编程 特点 的 编译 型 语言 ， 
广泛 应 用 于 企业 级 应 用 开发 和 移动 应 用 开发 领域 ， 由 SUN 公 司 在 1995 年 
推出 。Java 是 基于 类 的 面向 对 象 的 高 级 语言 ， 其 设计 理念 是 尽 可 能 的 减 
少 部 署 依赖 ， 致 力 于 “开发 一 次 ， 到 处 运行 ”。 这 就 意味 着 Java 的 二 进 制 
编码 不 需要 再 次 编译 ， 即 可 运行 在 异 构 的 JVM 上 。Java 在 大 型 互联 网 项 
目 ， 特 别 是 互联 网 金融 和 电子 商务 项 目 中 非常 受 欢 迎 。 











在 容器 中 运行 Java 代 码 最 简单 的 方法 就 是 将 Java 编 译 指令 直接 写 入 
Dockerfile。 然 后 使 用 此 Dockerfile 构 建 并 运行 此 镜像 ， 即 可 启动 程序 。 


在 本 地 新 建 一 个 空 目 录 ， 在 其 中 创建 Dockerfile 文 件 。 在 Dockerfile 
中 ， 加 入 需要 执行 的 Java 编 译 命 令 ， 例 如 : 





FROM java:7 

COPY . /usr/src/javaapp 
WORKDIR /usr/src/javaapp 
RUN javac HelloWorld. java 
CMD ["java", "HelloWorld"] 





使 用 此 Dockerfile 构 建 镜像 java-image: 





$ docker build -t java-image . 





然后 ， 运 行 此 镜像 即 自动 编译 程序 并 执行 : 





$ docker run -it --rm --name java-container java-image 
Hello, World 











NARA it EE H A EE Java FF 而 不 需要 运行 ， 则 可 以 使 用 如 
vale 





$ docker run --rm -v "$(pwd)":/usr/src/javaapp -w /usr/src/javaapp java:7 javac 
HelloWorld.java 





14.3 Python 


Python 是 一 种 解释 型 的 动态 语言 ， 面 同 对 象 设计 ， 功 能 十 分 强大 。 
它 集成 了 模块 (modules) 、 异 常 处 理 Cexceptions) 、 动 态 类 型 
(dynamic typing) 、 高 级 数据 结构 (元 组 、 列 表 、 序 列 ) 、 类 
(classes) 等 高 级 特性 。Python 设 计 精 恨 ， 语 法 简约 ， 表 达能 力 很 强 。 
目前 ， 所 有 主流 操作 系统 (Windows、 所 有 Linux、 类 Unix 系 统 ) 都 支 
持 Python 。 





下 面 ， 笔 者 将 带领 大 家 使 用 Docker 部 署 Python 环境 ， 以 及 部 署 
Python 技 术 栈 中 的 主流 框架 。 


14.3.1 使 用 官方 的 Python 镜像 
推荐 用 户 使 用 Docker 官 方 提供 的 Python 镜像 作为 基础 镜像 。 


首先 ， 新 建 项 目 目录 py-official， 进 入 此 目录 ， 新 建 一 个 Dockerfile 
文件 ， 内 容 如 下 : 





FROM python:3-onbuild 
CMD [ "python3.5", "./py3-sample.py" ] 





新 建 py3-sample.py 文 件 ， 计 算 Fibonacci 数 列 : 





def fib(n): 
ay = 


a, 
print() 
fib(1000) 





新 建 requirements.txt 依 赖 文 件 ， 读 者 可 以 在 此 文件 中 加 入 项 目 依 赖 
程序 ， 如 Django 等 。 此 处 仅 新 建 空 文件 。 





$ touch requirements.txt 





第 二 步 ， 使 用 docker build 命 令 构建 名 为 py2.7-sample-app 的 镜像 : 





$ docker build -t py3-image . 





第 三 步 ， 通 过 docker run 命 令 创建 并 运行 容器 : 





er it e py3-container py3-image 
23 "5 e “43 21 eve 55 ne 144 233 377 610 987 





如 果 读 者 只 A E 
目 定 义 镜像 ， 而 是 通过 以 下 命令 直接 使 用 官方 Python 镜像 ， 带 参数 运 


my ad 


IA: 





$ docker run -it -running-script -v "$(pwd)" :/usr/src/myapp -w 
/usr/src/myapp 5. python ie 人 your-daemon-or-script.py 





14.3.2 ”使 用 PyPy 


PyPy 是 一 个 Python 实现 的 Python 解释 右 和 即时 编译 JIT CR, € 
专注 与 速度 、 效 率 ， 以 及 和 CPython 完 全 的 兼容 性 。PyPy 通 过 JIT 技 术 可 
以 使 得 Python 运行 速度 提高 近 十 倍 ， 同 时 保证 兼容 性 。 








首先 ， 设 置 项 目 目录 ， 并 新 建 hi.py 实 例 程序 : 





for animal i n [" "dog" mouse"]: 
print "%s isa aval % an inal 





然后 ， 在 根 目录 新 建 Dockerfile， 基 于 pypy3 的 onbuild 版 本 镜像 : 





FROM ia 3- onbu ild 
CMD [ "pypy3", "./hi.py" ] 





如 果 用 户 需 要 使 用 pypy2， 则 可 以 使 用 : FROM pypy:2-onbuild. 


onbuild 版 本 的 镜像 内 含 若干 onbuild 触 发 器 ， 它 们 可 以 再 镜像 构建 期 
间 完 成 一 些 必要 的 初始 化 操作 ， 便 于 项 目的 直接 运行 。pypy 的 onbuild 镜 
像 会 拷贝 一 个 requirements.txt 依 赖 文 件 ， 运 行 RUN pip install 安 装 依赖 程 
序 ， 然 后 将 当前 目录 拷贝 至 /usrsrcapp。 


下 面 ， 用 户 开 始 构建 和 运行 此 镜像 : 











$ docker build -t A python -app 
$ docker run -it e my-running-app my-python-app 








人 并 希望 避免 新 建 Dockerfile， 
那么 用 户 可 以 直接 使 用 以 下 指令 





$ docker run -it --rm name my-running-scri Tipt -v "$PWD":/usr/src/myapp -w 
/usr/src/myapp pypy: :3 pypy3 your-daemon-or-script.py 





如 果 需 要 使 用 pypy2 运 行 ， 则 可 以 使 用 如 下 指令 





$ docker run -it --rm --name my-running-script -v "$PWD":/usr/src/myapp -w 
/usr/src/myapp pypy:2 DV your- danon or-script.py 





14.4 JavaScript 


JavaScript 是 目前 所 有 主流 浏览 器 上 唯一 文 持 的 脚本 语言 ， 这 也 是 早 
期 JavaScript 的 唯一 用 途 。Node.js 的 出 现 ， 让 服务 端 应 用 也 可 以 基于 
JavaScript 进 行 编写 。 


Node.js 自 2009 年 发 布 ， 使 用 Google Chrome 浏 览 器 的 V8 引擎 ， 采 用 
事件 驱动 ， 性 能 优异 。 同 时 还 提供 了 很 多 系统 级 API， 如 文件 操作 、 网 
络 编程 等 。 


下 面 ， 笔 者 将 简 述 如 何 使 用 Docker 搭 建 和 使 用 Node.js 环 境 。 
使 用 Node.js 环 境 


Node.js 拥 有 3 种 官方 镜像 : node: <version>, node: onbuild、 
node: slim. 














其 中 常用 的 是 带 有 版 本 标签 的 ， 以 及 带 有 onbuild 标 签 的 node 镜 像 。 
首先 ， 在 Node.js 项 目 中 新 建 一 个 Dockerfile: 





FROM node:4-onbuild 
EXPOSE 8888 





然后 ， 新 建 server.js 文 件 ， 内 容 如 下 : 





"use strict'; 

var connect = require('connect'); 

var serveStatic = require('serve-static'); 

var app = connect(); 

app.use('/', serveStatic('.', {'index': ['index.html']})); 
app.listen(8080) ; 

console.log('MyApp is ready at http://localhost:8080'); 





之 后 ， 通 过 npm — init 命令 来 新 建 node 项 目 所 必须 的 package.json 文 





$ npm init 

This utility will walk you through creating a package.json file. 
It only covers the most common items, and tries to guess sensible defaults. 
See ‘npm help json’ for definitive documentation on these fields 
and exactly what they do. 

Use ‘npm install <pkg> --save` afterwards to install a package and 
save it as a dependency in the package.json file. 

Press ^C at any time to quit. 

name: (node) node 

version: (1.0.0) 

description: node-sample 

entry point: (index.js) 

test command: 

git repository: 

keywords: 

author: 

license: (ISC) 

About to write to /Users/faxi/Docker/js/node/package. json: 


{ 
"name": "node", 
"version": "1.0.0", 
"description": "node-sample", 
"main": "index.js", 
"scripts": 
"test": "echo \"Error: no test specified\" && exit 1" 
"author": n, 
"license": "ISC" 


} 
Is this ok? (yes) yes 





下 面 使 用 docker build 指 令 构 建 node 镜 像 : 





$ docker build -t node-image . 





最 后 ’ 创建 并 运 云 行 node 容 aS 





$ docker run -it -P node-image 


npm info it worked if it ends with ok 
npm info using npm@2.15.1 

npm info using node@v4.4.3 

npm info prestart nonent: 0.0 

npm info start node@1.0 

> node@1.0.0 start Vier sep 

> node server.js 

MyApp is ready at http://localhost:8080 





JE IRE Hy DA 15 H NI bi as E  F) My App H FN AR TD o 
首先 ， 使 用 docker ps 指令 碍 看 端口 绑 定 情况 : 





$ docker ps 
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS 
MES 


NAI 
7b6f666d4808 node-image "npm start" xxxago Up xx 0.0.0.0:32771->8888/tcp 
node-container 





如 果 只 需要 运 Te Pnodela 5 HY 3 则 无 需 通 过 Dockerfile 构 建 
镜像 ， 可 以 使 用 以 下 指令 





$ docker run -it --rm --name my-running-script -v "$(pwd)":/usr/src/myapp -w 
/usr/src/myapp node: 0.10 node your-daemon-or-script.js 





读者 也 可 以 参考 node 官 方 提供 的 最 佳 实 
Ek: https://github.com/nodejs/docker- 
node/blob/master/docs/BestPractices.md. 


14.5 Go 


Go 语言 〈 也 称 Golang) 是 一 个 由 Google 主 导 研 发 的 编程 语言 ， 于 
2009 年 推出 。 它 的 语法 清晰 明了 ， 设 计 精 民 ， 拥 有 一 些 先 进 的 特性 ， 还 
有 一 个 庞大 的 标准 库 。Go 的 基本 设计 理念 是 : 编译 效率 、 运 行 效率 和 
开发 效率 要 三 者 若 顾 。 使 用 Go 开发 ， 既 可 以 得 到 很 多 灵活 的 语法 文 
持 ， 又 可 以 拥有 C/C++ 的 运行 和 编译 效 紊 。 此 外 ，Go 提 供 了 轻 量 级 的 协 
程 ， 文 持 大 规模 并 发 的 场景 。 




















14.5.1 搭建 并 运行 Go 容器 
1. 使 用 官方 镜像 


运行 Go 语言 环境 的 最 简 方 法 是 使 用 官方 golang 镜 像 。 可 以 使 用 
docker run 指 令 直 接 局 动 Go 语 言 的 交互 环境 ; 








$ docker run -it golang /bin/bash 
root@79afc2b64b06:/go# go versiongo version go1.7 linux/amd64 





还 可 以 将 Go 编译 指令 写 入 Dockerfile 中 ， 基 于 此 Dockerfile 构 建 自 定 
义 镜像 。 具 体 步 又 如 下 。 


第 一 步 ， 新 建 项 目 文件 夹 ， 并 在 根 目录 新 建 Dockerfile: 





FROM golang:1.6-onbuild # 显示 声明 基础 镜像 版 本 ， 利 于 后 期 维护 。 

onbuild 版 本 Dockerfile 的 具体 内 容 如 下 : 

FROM golang:1.6 

RUN mkdir -p /go/src/app 

WORKDIR /go/src/app 

CMD ["go-wrapper", "run"] # 通过 `go-wrapper .程序 执行 当前 目录 下 的 主 函数 

ONBUILD COPY . /go/src/app # 拷贝 当前 项 目 代码 至 运行 目录 

ONBUILD RUN go-wrapper download # 下 载 依赖 ， 具 体 实 现 参考 `go-wrapper ` 源 码 

ONBUILD RUN go-wrapper install # 安装 依赖 ， 具 体 实现 参考 `go-wrapper ` 源 码 

#“go-wrapper ` 源 码 地 址 : “https://github.com/docker -library/golang/blob/master/go- 
wrapper 

# Dockerfile 源 码 地 址 : “https://github.com/docker-library/golang/blob/master/1.6/ 
onbuild/Dockerfile 








第 二 步 ， 新 建 自 定义 go 程序 go-sample.go: 





package main 
import "fmt" 
func main() { 
fmt .Print1n("Hello, 世界 ") 








第 三 步 ， 使 用 docker build 指 令 构 建 镜 像 : 





$ docker build -t golang-image . 





最 后 ， 使 用 docker run 指 令 运 行 Go 容器 : 





$ docker run -it --rm --name golang-container golang-image 
+ exec app 
Hello, 世界 








至 此 成 功 运行 了 Go 语言 的 实例 容器 。 如 果 需 oo 
码 ， 但 是 不 需要 在 容器 中 运行 它 ， 那 么 可 以 执行 如 下 命 














$ docker run --rm -v "$(pwd)":/usr/src/myapp -w /usr/src/myapp golang go build -v 
_/usr/src/myapp 





这 会 将 Go 项 目 文件 夹 作为 Docker 数 据 卷 挂 载 起 来 并 作为 运行 目录 。 
然后 ，Docker 会 在 工作 目录 中 编译 代码 ， 执 行 go “build 命令 并 输出 可 的 
行文 件 至 myapp。 

2.Go 项 目 容 器 化 


首先 ， 下 载 Golang 官 方 提供 的 outyet 示 例 项 目 : 





$ mkdir outyet 
cd outyet 

go get Fix: 
$ go get github.com/golang/example/outyet 

# 或 者 直接 使 R: 

$ wget https://github.com/golang/example/archive/master.zip 
$ unzip master.zi 

$ cd example-master/outyet 











H 























= 
LS 


$ 1s 
Dockerfile containers.yaml main.go Main_test.go 








示例 项 目 搭建 成 功 后 ， 可 以 按照 以 下 模板 去 自 定 义 项 目的 
Dockerfile, 




















# 使 用 golang 基 础 镜像 。 基 于 Debian 系 统 ， 安 装 最 新 版 本 的 golang 环 境 。 工 作 空间 (GOPATH) 
配置 ; at fs y 

FROM gol 

# AENOR TL EASE TA EL 

ADD . A ie pig com/golang/example/my - 

# 在 容器 中 构建 my-go。 可 以 在 这 里 好 FAIRE (godep) HARRIE. 

RUN go „install e com/golang/example/my-g 

# HERRAZ 2 

ENTRYPOINT Lene ae go-app 

# 监听 8080 端 口 。 

EXPOSE 8080 











如 果 使 用 onbuild 版 本 的 基础 镜像 ， 那 么 源 文件 拷贝 、 构 建 与 配置 等 
过 程 就 会 目 动 完成 ， 无 需 在 Dockerfile 中 逐一 配置 ， 如 下 所 示 JR: 








FROM golang:onbuild 
EXPOSE 8080 








下 面 开 始 构建 与 运行 此 Golang 项 目 。 在 outyet 项 目 根 目录 执行 docker 
build 指 令 ， 使 用 本 地 目录 下 的 Dockerfile: 





$ docker build -t outyet . 





构建 过 程 中 ，Docker 会 从 Docker Hub 中 获取 golang 基 础 镜像 ， 找 贝 
本 地 包 文 件 ， 构 建 项 目 并 给 镜像 打上 outyet 标 签 。 下 面 ， 使 用 docker run 
指令 运行 此 镜像 : 





$ docker run -p 6060:8080 --name test --rm outyet 





此 时 ， 实 例 项 目的 容器 已 经 在 运行 状态 。 打 开 浏 览 器 访问 
http://localhost:6060/ 即 可 看 到 运行 界面 。 


14.5.2 Beego 
Beego 是 一 个 使 用 Go 的 思维 来 帮助 开发 者 构建 并 开发 Go 应 用 程序 的 


开源 框架 。Beego 使 用 Go 开发 ， 思 路 来 自 于 Tornado， 路 由 设计 来 源 于 
Sinatra。 使 用 方法 如 下 。 


EECO 


第 一 步 ， 下 载 安装 : 





go get github.com/astaxie/beego 





第 二 步 ， 创 建文 件 hello.go: 











go build -o hello hello.go 
./hello 





第 四 步 ， 打 开 浏 览 器 并 访问 http:/localhost:8080。 
至 此 ， 一 个 Beego 项 目 成 功 构建 了 。 
14.5.3 Gogs: 基于 Go 的 Git 服 务 
Gogs 的 目标 是 打造 一 个 最 简单 、 轻 松 的 方式 搭建 自助 Git 服 务 。 使 


用 Go 语言 开发 使 得 Gogs 能 够 通过 独立 的 二 进 制 分 发 ， 并 且 支 持 Go 语言 
支持 的 所 有 平台 ， 包 括 Linux、Mac OS X、Windows 以 及 ARM 平 台 。 


ra 2005 


A painless self:hosted Git service, 








可 以 使 用 docker run 直 接 创建 并 运行 镜像 : 





$ docker run --rm --name gogs gogs/gogs 





如 果 需 要 停止 此 镜像 ， 可 以 使 用 docker stop 与 docker rm 指令 : 





$ docker stop gogs; docker rm gogs 





如 果 需 要 将 数据 持久 化 ， 可 以 先 新 建 数据 文件 来 ， 然 后 将 其 作为 数 
据 卷 挂 载 至 gogs 容 器 中 





$ mkdir -p /srv/1xc/gogs/data 
$ docker run -d --name gogs \ -p 8300:3000 -p 8322:22 -v /srv/l1xc/gogs/data: 
/data gogs/gogs 





PHP (Hypertext ”Preprocessor， 超 文本 预 处 理 器 〉 是 一 种 通用 的 开 
源 脚 本 语言 。 语 法 吸收 了 C、Java 和 Perl 等 语言 的 特点 ， 利 于 学 习 ， 使 用 
广泛 ， 主 要 适用 于 Web 开 发 领域 。PHP 执 行 效率 比 完全 生成 HTML 标 记 
的 CGI 要 高 许多 ; PHP 还 可 以 执行 编译 后 代码 ， 编 译 可 以 达到 加 密 和 优 
化 代码 运行 ， 使 代码 运行 更 快 。 





1. 使 用 官方 镜像 
第 一 步 ， 在 PHP 项 目的 根 目录 中 新 建 一 个 Dockerfile: 





FROM php:5.6-cli 
COPY . /usr/src/myapp 
WORKDIR /usr/src/myapp 





CMD [ "php", "./hello.php" ] 
新 建 hello.php 文 件 : 





<?php 
echo "hello php\n" 
2?> 





第 二 步 ， 运 行 docker build 命 令 构 建 镜像 : 





$ docker build -t php-image . 





最 后 ， 执 行 以 下 命令 去 运行 Docker 镜 像 : 





$ docker run -it --rm --name php-container php-image 
hello php 





2. 挂 载 PHP 项 目 


如 果 读 者 需要 i 运行 简单 的 ， 甚至 单 文件 的 PHP 项 目 ， 那 么 每 次 都 写 
Dockerfile 会 很 麻烦 。 这 种 情况 下 ， 可 以 用 以 下 命令 挂 载 PHP 项 目 : 





$ docker run -it rm -- my-running-script -v "$(pwd)":/usr/src/myapp -w 
/usr/src/myapp p- php: 5. 3 Teli php your-script.php 





3. 配 合 Apache 使 用 


通常 情况 下 ，PHP 项 目 需要 和 Apache httpd/Nginx 一 起 运行 ， 这 样 就 
需要 PHP 容 器 中 内 含 Apache Web Server。 读 者 可 以 使 用 带 有 apache 标 签 
的 镜像 ， 如 php: 5.6-apache。 


第 一 步 ， 在 读者 的 PHP 项 目的 根 目 录 中 新 建 一 个 Dockerfile， 并 使 用 
Docker Hub 官 方 的 基础 镜像 : 





FROM php:5.6-apache 
COPY src/ /var/www/html1/ 





其 中 ，src/ 是 当前 包含 所 有 PHP 代 码 的 目录 。 
二 步 ， 使 用 此 Dockerfile 构 建 自 定义 镜像 : 





$ docker build -t my-php-app . 





第 三 步 ， 创 建 并 运行 此 镜像 : 





$ docker run -it --rm --name my-running-app my-php-app 





笔者 建议 添 一 个 自 定义 的 php.ini 配 置 文件 ， 将 其 找 贝 
到 /usr/localib。 这 样 读者 可 以 对 PHP 项 目 做 更 多 的 定制 化 ， 如 开启 某 些 
Heel 件 ， 或 者 对 PHP 人 解释 器 进行 一 些 安 全 /性 能 相关 的 配置 。 添 加 方法 
fe fal 





FROM php:5.6-apache 
COPY config/php.ini /usr/local/lib/ 
OPY src/ /var/www/html/ 








提示 
src/ 是 当前 存放 PHP 代 码 的 文件 夹 ，config/ 文 件 夹 包含 php.ini 文 件 。 
ee 官方 镜像 运行 PHP 项 目 ， 可 以 执行 如 下 命 


> 





$ docker run -it --rm --name my-apache-php-app -v "$(pwd)":/var/www/html php: 
5.6-apache 





14.7 Ruby 


Ruby 是 一 种 动态 的 面向 对 象 的 脚本 语言 ， 具 有 支持 反射 、 跨 平台 、 
设计 精简 等 特点 ， 在 web 应 用 领域 应 用 颇 多 。Ruby 的 设计 受到 Perl、 
Smalltalk、Eiffel、Ada 和 Lisp 的 影响 。Ruby 支 持 多 种 编程 范式 ， 如 函数 
编程 、 面 向 对 象 编程 、CLI 交 互 式 编程 。Ruby 还 有 动态 的 数据 类 型 系统 
和 自动 的 内 存 管理 。 











14.7.1 ”使 用 Ruby 官 方 镜像 
首先 ， 在 Ruby 项 目 中 创建 一 个 Dockerfile: 





FROM ruby:2.1.2-onbuild 
D ["./rb-sample.rb .rb"] 





然后 ， 新 建 rb-sample.rb 例 子 程序 : 





Say = love Ruby" 
3.times i puts say } 





将 以 上 文件 放 在 app 的 根 目 录 〈 与 Gemfile 同 级 ) 。 


TY we 
YER 


使 用 的 官方 镜像 带 有 onbuild 标 签 ， 意 味 着 包含 了 启动 大 部 分 Ruby 
项 目 所 需 的 基本 指令 。 在 构建 镜像 的 时 候 ，Docker 会 执行 
COPY./usrsrc/app 以 及 RUN bundle install. 


然后 ， 构 建 名 为 ruby-image 的 镜像 : 








$ docker build -t ruby-image . 





最 后 ， 创 建 并 运行 此 镜像 : 





$ docker run -it --name ruby-container ruby-image 





由 于 在 构建 时 使 用 了 带 有 onbuild 标 签 的 镜像 ， 所 以 在 app A Tm 
要 有 Gemtfile.lock 文 件 。 可 以 在 App 的 根 目录 运行 以 下 命令 : 











$ docker run --rm "$(pwd)":/usr/src/app -w /usr/src/app ruby:2.1.2 bundle 
install - yatem 





如 果 读 者 只 需要 运行 单个 的 Ruby 脚 本 ， reuters eee 
建 自 定 义 镜像 ， 而 是 通过 以 下 命令 直接 使 用 官方 Ruby 镜 像 ， 带 参数 运 
容器 : 








$ do crer run my- ing- script -v "$(pwd)":/usr/src/myapp -w 
/usr/s c/n E Puby 2 H i ru by. -daemon-or-script.rb 





14.7.2 JRuby 


JRuby 类 似 于 Python 的 Jython， 它 可 运行 于 JVM 上 并 文 持 Java 的 接口 
和 类 。 


Sut y 


第 一 步 ， 用 户 在 JRuby 项 目 中 创建 一 个 Dockerfile: 








FROM jruby:.1.7.24-onbuild 
CMD ["./jruby-sample.rb"] 





第 二 步 ， 新 建 Ruby 示 例 代 码 jruby-sample.rb: 








将 此 文件 放 在 app 的 根 目录 〈 与 Gemtfile 同 级 ) 。 





VW a 
VES 


使 用 的 官方 镜像 带 有 onbuild 标 签 ， 意 味 着 包含 了 启动 大 部 分 JRuby 
项 目 所 需 的 基本 指令 。 在 构建 镜像 的 时 候 ， 会 执行 COPY./usrsrc/app 以 
及 RUN bundle installs 


第 三 步 ， 构 建 日 定义 镜像 : 











$ docker build -t jruby-image . 





第 四 步 ， 创 建 并 运行 此 镜像 : 





$docker run -it --name jruby-container jruby-image 








由 于 在 构建 时 使 用 了 带 有 onbuild 标 签 的 镜像 ， 所 以 在 app 目录 下 需 
要 有 Gemtfile.lock 文 件 。 这 时 可 以 在 app 的 根 目录 运行 以 下 命令 : 











$ docker run --rm "$(pwd)":/usr/src/app -w /usr/src/app jruby:1.7.15 bundle 
install - eaten 





如 果 读 者 只 需要 运行 单个 的 JRuby 脚 本 ， 那 么 无 需 使 用 Dockerfile 构 
mea 而 是 通过 以 下 命令 直接 使 用 官方 JRuby 镜 像 ， 带 参数 运 
行 容 器 : 








$ docker run --name my-running-script -v bale Hik sr/src/myapp -w 
/usr/s re/ti See aa by: 1. 7.15 jruby your-daemon-or-scr rb 





14.7.3 Ruby on Rails 


Railsze fE H Ruby if S Ja AY REIT RIER, =A AIR 
Hetk H, MAN EPP A. R miD RARI, WREKIN 








其 他 编程 语言 或 框架 难以 企及 的 功能 。 经 验 丰 富 的 Rails 程 序 员 会 发 现 ， 
Rails 让 程序 开发 变 得 更 有 乐趣 。 








1. 使 用 官方 镜像 


第 一 步 ， 用 户 在 Rails 项 目 中 创建 一 个 Dockerfile， 将 此 文件 放 在 项 
目 根 目录 (与 Gemtfile 同 级 ) ，Dockerfile 内 容 如 下 : 





FROM rails:onbuild 








可 见 用 户 使 用 了 onbuild 标 签 ， 即 此 基础 镜像 会 自行 完成 一 些 基 本 的 
构建 工作 并 包含 了 大 部 分 局 动 一 个 Rails 项 目 所 需 的 基本 指令 。 


Dockerfie 内 容 如 下 : 





FROM ruby:2.3 

# throw errors if Gemfile has been modified since Gemfile.lock 
RUN bundle config --global frozen 1 

RUN mkdir -p /usr/src/app 

WORKDIR /usr/src/app 

ONBUILD COPY Gemfile /usr/src/app/ 

ONBUILD COPY Gemfile.lock /usr/src/app/ 

ONBUILD RUN bundle install 

ONBUILD COPY . /usr/src/app 





二 步 ， 构 建 目 定义 镜像 : 





$ docker build -t rails-image . 





第 三 步 ， 创 建 并 运行 此 镜像 : 





$ docker run --name rails-container -d rails-image 





此 时 用 户 可 以 使 用 浏览 器 访问 http://container-ip:3000 查 看 服务 ， 当 
然 ， 也 可 以 映射 到 本 地 主机 端口 。 





$ docker run --name some-rails-app -p 8080:3000 -d my-rails-app 





现在 读者 可 以 使 用 浏览 器 访问 http:/localhost:8080 或 者 http:/host- 
ip:8080. 


2. 使 用 Compose 搭 建 Rails 应 用 


下 面 使 用 Docker Compose 来 配置 和 运行 一 个 简单 的 
Rails+PostgreSQL 应 用 。 


第 一 步 ， 确 定 项 目 文件 夹 内 容 。 新 建 一 个 名 为 rails-compose- 
example 的 项 目 文件 夹 ， 在 其 根 目录 新 建 一 个 Dockerfile 文 件 ， 内 容 如 
F: 











FROM ruby:2 

RUN apt-get andate -qq && apt-get install -y build-essential libpq-dev 
RUN mkdir /code 

WORKDIR /code 

ADD Gemfile /code/Gemfile 

ADD Gemfile.lock /code/Gemfile.lock 
RUN bundle install 

ADD . /code 

Gemfile 内 容 如 下 : 

source ee ea org' 

gem 'rails' 





下 面 用 户 新 建 docker-compose.yml 文 件 ， 内 容 如 下 : 





version: '2' 
services: 


b: 
image: postgres 
eb: 


build: 
command: bundle exec rails s -p 3000 -b '0.0.0.0' 
volumes: 

. :/myapp 
ports 

00: 3000" 
depends. on: 

db 





第 二 步 ， 构 建 Rails 项 目 。 可 以 使 用 docker-compose ”run 指令 构建 并 
启动 此 Rails 项 目 : 





$ docker-compose run web rails new . --force --database=postgresql --skip-bundle 





14.8 Perl 


Perl 是 一 个 高 级 的 、 动 态 的 解释 型 脚本 语言 ， 它 的 设计 借鉴 了 C、 
Shell、awk 和 sed。Perl 最 重要 的 特性 是 它 内 部 集成 了 正则 表达 式 的 功 
能 ， 以 及 巨大 的 第 三 方 代码 库 CPAN。Perl 像 C 一 样 强 大 ， 同 时 像 awk、 
sed 等 脚本 语言 一 样 富 有 表达 性 。Perl 常 见于 系统 管理 和 文件 处 理 等 程 
序 ，Perl 多 数 情况 下 属于 Web 方 案 中 的 胶水 语言 。 


OPer 


可 以 使 用 Docker 官 方 的 Perl 镜 像 作 为 基础 ， 在 此 之 上 进行 必要 的 定 








制 | 
第 一 步 ， 下 载 官 方 的 Per 镜像: 


$ docker pull perl 





如 果 读 者 对 Perl 的 版 本 有 要 求 ， 可 以 在 以 上 命令 中 加 入 Tag 标 签 ， 以 
便于 在 下 一 步 的 Dockerfile 的 FROM 指 令 中 明确 Perl 版 本 号 。 官 方 镜像 都 
有 明确 的 标签 信息 。 


第 二 步 ， 在 Perl 项 目 中 新 建 Dockerfile: 





FROM per1:5.20 

COPY . /usr/src/myapp 

WORKDIR /usr/src/myapp 

CMD [ "perl", "./perl-sample.p1l" ] 





新 建 perl-sample.pl 文 件 : 





#!/usr/bin/perl 
print "Hello, World!\n"; 





第 三 步 ， 通 过 此 Dockerfile， 构 建 自 定 义 的 镜像 : 





$ docker build -t perl-image . 





构建 成 功 后 ， 用 户 可 以 通过 docker images 查 看 : 





$ docker images 
REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 
perl-image latest bc28eba086ad About a minute ago 654.9 MB 





最 后 ， 创 建 容器 并 运行 : 





$ docker run -it --rm --name perl-container perl-image 
Hello, World! 





如 果 读 者 只 需要 运行 单个 的 Perl 脚 本 ， 那 么 无 需 使 用 Dockerfile 构 建 
ae 而 是 通过 以 下 命令 直接 使 用 官方 Pearl 镜像 ， 带 参数 运行 容 


zf 





$ docker run -it --rm --name perl-container -v "$(pwd)":/usr/src/myapp -w 
7usr/sre/myapp perl:5.20 perl perl-sample.pl 
Hello, World! 





如 果 读 者 需要 运行 Perl 的 Web 项 目 ， 则 最 好 先 自 建 内 置 SSH 服 务 的 
镜像 ， 然 后 以 此 为 基础 定制 Perl 容 器 ， 这 样 可 以 方便 地 通过 SSH 服 务 访 
问 Perl 容 器 。 
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R 是 一 个 面 癌 统计 分 析 和 绘图 的 语言 ， 是 由 新 西 兰 奥克兰 大 学 统计 
学 系 的 Ross Ihaka 和 Robert Gentleman 共 同 创 立 。R 带 有 大 量 的 统计 软件 
包 ， 如 篆 见 的 贝 叶 斯 推 亲 、 聚 类 分 析 、 机 才学 习 、 衬 间 统 计 、 稳 健 统计 
等 ， 在 生物 信息 、 统 计 学 等 领域 应 用 广泛 。 








Rocker 项 目 是 一 个 Docker 官 方 文 持 的 项 目 ， 它 提供 了 R 语 言 的 容器 
环境 支持 。 官 方 提供 的 r-base 镜 像 就 是 基于 Rocker 项 目的 。 


1. 运 行 区 互 式 R 语 言 环境 


可 以 直接 运行 官方 提供 的 rbase 镜 像 ， 进 入 交互 模式 的 R 环 境 : 














$ docker run -ti --rm r-base 





退出 交互 命令 行 时 ， 可 以 使 用 quit0 指 令 ， 此 时 可 以 选择 是 否 保存 
工作 空间 : 





> quit 
Save workspace image? [y/n/c]: 





2. 运 行 R 语 言 批 量 模式 


可 以 通过 连接 工作 目录 ， 来 运行 R 语 言 的 批量 指令 。 把 一 个 卷 
(volume) 连接 至 容器 时 ， 最 好 使 用 一 个 非 根 用 户 ， 这 样 可 以 避免 权限 
问题 : 











$ docker run -ti --rm -v "$PWD":/home/docker -w /home/docker -u docker r-base R 
CMD check . 

* using log directory ‘/home/docker/..Rcheck’ 

* using R version 3.3.0 (2016-05-03) 

* using platform: x86_64-pc-linux-gnu (64-bit) 

* using session charset: UTF-8 

* checking for file ‘./DESCRIPTION’ ... NO 
E 


* DON 
Status: OK 





3. 运 行 R 语 言 命令 行 模式 


可 以 直接 进入 R 容 露 的 bash 命 令 行 : 





$ docker run -ti --rm r-base bash 
root@4a0bba3f4cb4: /# 








在 bash 中 如 果 和 希望 进入 R 语 言 交 互 命令 行 ， 可 以 直接 输入 R: 





root@4a0bba3f4cb4:/bin# R 
> 





可 以 使 用 vim.tiny 编 辑 器 ， 新 建 rdemo.R 脚 本 : 





print("Hello,World!") 





保存 后 ， 就 可 以 使 用 Rscript 指 令 运 行 此 脚本 : 





root@4a0bba3f4cb4:/bin# Rscript demo.R 


mo. 
[1] "Hello, World!" 





还 可 以 在 R 语 言 区 互 命令 行 中 运行 R 脚 本 。 首 先 ， 在 容器 中 新 建 hi.R 
脚本 : 





hello <- function( name ) { 
sprintf( "Hello, %s", name ); 





然后 直接 输入 R 指 令 进 入 交互 命令 行 ， 使 用 source0) 函 数 加 载 脚本 ， 
再 使 用 hello() 函 数 调 用 用 户 的 打印 逻辑 : 





> source('/bin/hi.R') 
> hello('docker') 

[1] "Hello, docker" 

> 





4. 使 用 目 定义 容器 

在 用 户 将 手头 的 R 项 目 容 器 化 的 过 程 中 ， 往 往 需 要 加 入 自己 的 环境 
构建 逻辑 ， 也 需要 运行 自 定 义 容器 。 这 种 情况 下， 用户 就 需要 基于 官方 
提供 的 rbase 基 础 镜像 ， 完 成 目 定 义 的 Dockerfile， 例 如 : 











FROM r-base:latest 

COPY . /usr/local/src/r-scripts 
WORKDIR /usr/local/src/r-scripts 

CMD ["Rscript", "running-r-scripts.R"] 





其 中 running-r-scripts.R 内 容 可 以 简写 为 : print("My R Container! ") 
然后 ， 使 用 docker build 指 令 构 建 : 





$ docker build -t my-r-container /directry/of/Dockerfile 





然后 使 用 docker run 指 令 运 行 容 器 ， 并 通过 docker ps 指令 查看 运行 状 
太 


MS 





$ docker run -d my-r-container 
e86739e8226a081372d9bb0fb9f62a32405814b5172a543487b0751839c2e57f 

docker ps -a 

CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS 
e86739e8226a my-r-container "Rscript running-r-sc" ..ago Exited (0) 





14.10 Erlang 


Erlang 是 一 种 用 来 构建 大 规模 弹性 、 实 时 、 高 并 发 、 高 可 用 系统 的 
编程 语言 ， 被 广泛 应 用 于 电信 、 银 行 、 电 子 商 务 和 即时 消息 领域 。 
Erlang 的 运行 时 系统 内 置 文 持 并 发 、 分 布 式 和 容错 机 制 。Erlang 由 爱 芯 
信 上 所 辖 的 CS-Lab 于 1987 年 开发 ， 目 的 是 创造 一 种 可 以 应 对 大 规模 并 发 活 
动 的 编程 语言 和 运行 环境 。 














1. 使 用 官方 镜像 
可 以 使 用 erlang 镜 像 ， 直 接 进 入 Erlang 交 互 命令 行 Eshell: 





$ docker run -it --rm erlang:latest 

Erlang/OTP 18 [erts-7.3.1] [source] [64-bit] [async-threads:10] [hipe] [kernel-poll:false] 
Eshell V7.3.1 (abort with ^G) 

1> uptime(). 

3 minutes and 3 seconds 

ok 

2> 





可 以 使 用 ctl+G 进 入 任务 切换 模式 ， 其 中 j 为 列 出 所 有 任务 : 





User Switch command 


-> ij 
1* {shell, start, [init]} 
-->q 
$ docker run -it --rm -h erlang.local erlang erl -name allen 
Erlang/OTP 18 [erts-7.3.1] [source] [64-bit] [async-threads:10] [hipe] [kernel-poll: false] 
Eshell V7.3.1 (abort with AG) 
(allen)1> erlang:system_info(otp_release). 
ngg" 
(allen)2> 
User switch command 
--> q 





2. 直 接 运 行 Erlang 脚 本 


可 以 直接 使 用 docker run 指令， 通过 escript 运 行 Erlang 脚 本 。 下 面 以 
斐 波 那 契 数列 作为 例子 进行 讲解 。 


首先 ， 新 建 fab.erl 文 件 : 





#!/usr/bin/env escript 
%% -*- erlang -*- 
main([String]) -> 

try 


N = list_to_integer(String), 
F = fac(N), 
io:format("factorial ~w = ~w\n", [N,F]) 
catch 
Sas 
usage() 
end; 
main(_) -> 
usage(). 


usage() -> 
io:format("usage: factorial integer\n"), 
halt(1). 

fac(0) -> 1; 

fac(N) -> N * fac(N-1). 





保存 后 ， 使 用 docker run 指 令 运 行 : 





$ docker run -it --rm --name erlang-inst1 -v "$PWD":/usr/src/myapp -w /usr/src/ 
myapp erlang escript fab.erl 5 
factorial 5 = 120 





可 见 已 输出 factorial 5=120 计 算 结 果 。 
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本 章 主要 介绍 了 如 何 使 用 Docker 搭 建 主流 编程 语言 及 其 常用 开发 杠 
架 环境 ， 包 括 C、C++、Java、Python、JavaScript、Go、PHP、Ruby、 
Perl、R、Erlang 等 。 


一 方面 ， 读 者 可 以 很 容易 地 从 Docker Hub 获 取 官 方 镜像 并 使 用 ， 另 
一 方面 ， 用 户 也 可 以 基于 基础 镜像 定制 所 需 的 镜像 文件 。 通 过 这 些 实践 
案例 ， 相 信 读 者 能 体会 到 更 多 合理 使 用 容 喜 化 方案 ， 给 开发 和 部 署 带 来 
的 诸多 优势 。 

















第 15 章 ”容器 与 云 服务 


Docker 目 前 已 经 得 到 了 众多 公有 云 平 台 的 支持 ， 并 成 为 除 虚 拟 机 之 
外 的 核心 云 业务 。 


除了 AWS、Google、Azure、Docker 官 方 云 服务 等 ， 国 内 的 各 大 公 
有 云 厂商， 基本 上 都 同时 支持 了 虚拟 机 服务 和 容器 服务 ， 甚 至 还 专门 推 
出 了 容器 云 业务 。 


本 章 将 介绍 国际 和 国内 知名 的 公共 云 容器 服务 以 及 容器 云 的 现状 ， 
功能 与 特性 ， 并 以 阿里 云 和 时 速 云 为 例 讲解 具体 使 用 过 程 ， 方 便 希 望 使 
用 云 服务 的 读者 进行 技术 选 型 。 








15.1 公有 云 容 器 服务 


AAG (Public Cloud) 是 标准 云 计算 (Cloud Computing) 的 一 种 
服务 模式 。 服 务 供应 商 创造 公有 计算 资源 ， 如 网 络 和 存储 资源 。 公 众 与 
企业 可 以 通过 公共 网 络 获取 这 些 资 源 。 目 前 国内 已 经 有 很 多 公有 云 ) 

商 ， 他 们 都 提供 可 以 运行 Docker 环 境 的 虚拟 机 ， 同 时 一 部 分 公有 云 厂 商 
已 经 发 布 了 自己 的 容器 服务 。 


ÜI 






















15.1.1 AWS 


AWS， 即 Amazon Web Services, ÆW B3% (Amazon) 公司 的 IaaS 
和 PaaS 平 台 服 务 。AWS 提 供 了 一 整套 基础 设施 和 应 用 程序 服务 ， 使 用 
户 几 乎 能 够 在 云 中 运行 一 切 应 用 程序 : 从 企业 应 用 程序 和 大 数据 项 目 ， 
到 社交 游戏 和 移动 应 用 程序 。AWS 面 向 用 户 提 供 包括 弹性 计算 、 存 
储 、 数 据 库 、 应 用 程序 在 内 的 一 整套 云 计 算 服 务 ， 能 够 帮助 企业 降低 I 
投入 成 本 和 维护 成 本 。 


自 2006 年 初 起 ， 亚 马 逊 AWS 开 始 在 云 中 为 各 种 规模 的 公司 提供 技 
术 服 务 平台 。 利 用 亚 马 进 AWS， 软 件 开 发 人 员 可 以 轻松 购买 计算 、 存 
储 、 数 据 库 和 其 他 基于 Internet 的 服务 来 文 持 其 应 用 程序 。 开 发 人 员 能 够 
灵活 选择 任何 开发 平台 或 编程 环境 ， 以 便于 其 尝试 解决 问题 。 由 于 开发 
人 员 只 需 按 使 用 量 付费 ， 无 需 前 期 资本 文 出 ， 亚 马 进 AWS 是 回 最 终 用 
户 交 付 计 算 资 源 、 保 存 的 数据 和 其 他 应 用 程序 的 一 种 经 济 划 算 的 方式 。 


2015 年 AWS 正 式 发 布 了 容器 服务 CECS) ， 如 图 15-1 所 示 。ECS 的 
目的 是 让 Docker 容 器 变 得 更 加 简单 ， 它 提供 了 一 个 集群 和 编排 的 层 ， 用 
来 控制 主机 上 的 容 右 部 署 ， 以 及 部 团 之 后 集群 内 容 右 的 生命 周期 管理 。 
ECS 是 诸如 Docker Swarm、Kubernetes、Mesos 等 工具 的 蔡 代 ， 它 们 工作 
在 同一 个 层 ， 除 了 作为 一 个 服务 来 提供 。 这 些 工 具 和 ECS 不 同 的 地 方 在 
于 ， 前 者 需要 用 户 自 己 来 部 署 和 管理 ， 而 ECS 是 “作为 服务 ”来 提供 的 。 
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图 15-1 AWS 容 器 服务 
15.1.2 Google Cloud Platform 


Google Cloud Platform (GCP) 平台 提供 了 丰富 全 面 的 云 产 品 ， 可 
以 让 企业 专注 于 自己 的 业务 ， 而 将 IT 底层 架构 托管 给 谷歌 。 谷 歌 云 平 台 
支持 App 引 擎 、 容 器 引擎 、 容 器 仓库 ， 还 文 持 丰富 的 数据 库 、 网 络 、 安 
全 、 大 数据 ， 甚 至 机 器 学 习 产 品 。Google 云 平台 发 布 了 Google 容 器 引 
擎 ， 图 15-2 描 述 了 如 何在 开发 场景 中 使 用 Google 容 器 引擎 。 





Google Cloud Platform 


Google 容 器 引擎 有 以 下 特性 : 


:自动 化 容器 管理 : Google Container Engine 是 一 个 强大 的 集群 管理 
和 编排 系统 。 这 个 容器 引擎 可 以 按 需 将 Docker 容 器 编排 至 集群 中 自动 运 
行 ， 同 时 可 以 自 定 义 CPU 和 内 存 等 配置 。 此 引擎 基于 Kubermnetes， 它 可 


以 提供 弹性 ， 高 可 用 的 云 基础 服务 。 


分 钟 级 构建 集群 : 使 用 谷歌 容 吉 服务， 用户 可 以 在 分 钟 级 别 构 建 
完整 的 集群 ， 包 含 健康 检查 、 日 志 服 务 ， 以 及 应 用 管理 系统 。 





弹性 与 开源 : Red Hat、Microsoft、IBM、Mirantis OpenStack 以 及 
VMware 都 完成 了 它们 的 系统 与 Kubernetes 的 兼容 或 集成 。 用 户 可 以 平滑 
搭建 混合 云 ， 也 可 以 平 清 迁移 系统 到 云 上 。 
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图 15-2 GCP 容器 服务 的 开发 场景 


15.1.3 Azure 


微软 Azure 在 国内 是 由 世纪 互联 运营 的 ， 它 是 在 中 国 大 陆 独立 运营 
的 公有 云 平台 ， 与 全 球 其 他 地 区 由 微软 运营 的 Azure 服 务 在 物理 上 和 地 
辑 上 独立 。 采 用 微软 服务 于 全 球 的 Azure 技 术 ， 为 客户 提供 全 球 一 致 的 
服务 质量 保障 。 位 于 上 海 和 北京 的 数据 中 心 在 距离 相隔 1000 公 里 以 上 的 
地 理 位 置 提供 异地 复制 ， 为 Azure 服 务 提供 了 业务 连续 性 支持 ， 实 现 了 
数据 的 可 靠 性 。 








月 


站 | 


Windows Azure 


在 容器 方面 ， 从 2014 年 开始 ，Azure 首 先 采 取 了 在 Linux 虚 拟 机 上 兼 
容 Docker 的 方式 来 吸引 社区 的 开发 者 。2014 年 进一步 宣布 与 Google 和 
Docker 人 合作， 以 此 支持 Kubernetes 和 Swarm 开源 项 目 在 其 云 平台 上 的 运 
行 。Docker 官 方 也 推出 了 Docker Machine 的 Azure 版 本 。2015 年 ，Azure 





发 布 了 Azure 容 器 服务 (Azure Container Service, ACS) ， 同 时 支持 
Docker Swarm 和 Apache Mesos 集 群 编排 工具 。 


15.1.4 ”腾讯 云 


腾讯 云 在 架构 方面 经 过 多 年 积累 ， 并 且 有 痢 多 年 对 海量 互联 网 服务 
的 经 验 。 不 管 是 社交 、 游 戏 还 是 其 他 领域 ， 都 有 多 年 的 成 熟 产品 来 提供 
产品 服务 。 腾 讯 在 云端 完成 重要 部 敬 ， 为 开发 者 及 企业 提供 云 服 务 、 云 
数据 、 云 运营 等 整体 一 站 式 服 务 方案 。 


SMD 


具体 包括 云 服务 器 、 云 存储 、 云 数据 库 和 弹性 Web 引 擎 等 基础 云 服 
务 ， 腾 讯 云 分 析 CMTA) 、 腾 讯 云 推送 〈 信 入) 等 腾讯 整体 大 数据 能 
力 ， 以 及 QQ 互联 、QQ 空 间 、 微 云 、 微 社区 等 云端 链接 社交 体系 。 这 些 
正 古 腾讯 云 可 以 提供 给 这 个 行业 的 差 寞 化 优势 ， 造 就 了 可 支持 各 种 互联 
网 使 用 场景 的 高 品质 的 腾讯 云 技术 平台 。 


2015 年 1 月 6 日 ， 腾 讯 云 正式 宣布 成 文 持 Docker Machine, #4 H 4 
定位 于 Docker 基 础 设施 的 服务 商 。 与 此 同时 ， 在 支持 Docker Machine 前 
提 下 ， 腾 讯 云 也 推出 了 常用 系统 的 标准 版 Docker 镜 像 ， 方 便 用 户 创 建 容 
fae 


























151.5 阿里 云 


阿里 云 创立 于 2009 年 ， 是 中 国 较 早 的 云 计算 平台 。 阿 里 云 致力 于 提 
供 安全 、 可 菲 的 计算 和 数据 处 理 能 力 。 阿 里 云 的 客户 群体 中 ， 活 跃 着 微 
博 、 知 乎 、 魅 族 、 锤 子 科技 、 小 咖 秀 等 一 大 批 明星 互联 网 公司 。 在 天 猪 
双 11 全 球 狂 欢 节 等 极 富 挑 战 的 应 用 场景 中 ， 阿 里 云 保持 着 民 好 的 运行 记 
录 。 


(-) jE D 


Bay ZN A a IRA BEE YS rer PERE. RA At as DA EERS SHE 
EAA RS a Ee Docker Aar RET ME an Jed A. Aa RA 
极 大 简化 了 用 户 对 容器 管理 集群 的 搭建 工作 ， 无 缝 整 合 了 阿里 云 虚 拟 
化 、 存 储 、 网 络 和 安全 能 力 。 容 圳 服务 提供 了 多 种 应 用 发 布 方式 和 流水 
线 般 的 持续 交付 能 力 ， 原 生 文 持 微服 务 染 构 ， 助 力 用 户 无 幼 上 云 和 跨 云 


ee 




















15.1.6 #Ax 


华为 云 已 经 正式 推出 了 云 容器 服务 一 CCE (Cloud Container 
Engine) 容器 引擎 ， 该 服务 基于 以 Docker 为 代表 的 容器 技术 ， 虽 在 提供 
从 开发 、 构 建 、 部 署 /托管 、 监 控 、 弹 性 伸缩 、 故 障 恢复 等 全 生命 周期 





的 一 站 式 解 决 方案 。CCE 容 器 引擎 目 上 线 以 来 ， 已 经 在 多 个 行业 市 场 取 
在 “互联 网 、 金 融 、 政 企 ” 等 领域 与 多 家 合作 伙伴 达成 合 


WW) Huawe 


通过 CCE 容 器 引擎 ， 可 以 创建 自己 的 私有 集群 ， 系 统 文 持 容器 集群 
的 全 生命 周期 管理 和 可 视 化 监控 运 维 。 还 可 以 秒 级 构建 不 同形 态 和 规模 
的 应 用 程序 ， 兼 容 业 界 Docker 等 生态 ， 并 支持 应 用 的 弹性 伸缩 和 丰富 的 


监控 告警 服务 。 
15.1.7 UCloud 


UCloud 是 基础 云 计算 服务 提供 商 ， 长 期 专注 于 移动 互联 网 领域 ， 深 
度 了 解 移 动 互 联网 业务 场景 和 用 户 需求 。 针 对 特定 场景 ，UCloud 通 过 上 自 
主 研发 提供 一 系列 专业 解决 方案 ， 包 括 计 算 资 源 、 存 储 资 源 和 网 络 资源 
等 企业 必须 的 基础 IT 架构 服务 ， 满 足 互 联网 研发 团队 在 不 同 场景 下 的 各 
类 需求 。 己 有 数 千 家 移动 互联 网 团队 将 其 核心 业务 迁移 至 UCloud 云 计算 
服务 平台 上 。 依 托 位 于 国内 、 亚 太 、 北 美的 全 球 10 大 数据 中 心 以 及 北 、 
上 、 广 、 深 、 杭 等 全 国 11 地 线 下 服务 站 ，UCloud 已 为 近 4 万 家 企业 级 客 
户 提供 服务 。 














UCLOUD 


UCloud R aire a AR AS ve FY R EGE EEN aR. BEV] Oo 
多 个 可 用 区 ， 有 具有 更 高 容 灾 能 力 。 文 持 用 户 自 由 创建 管理 ， 可 以 灵活 绑 
定 一 个 或 多 个 EIP 并 具有 独立 的 内 网 IP 及 独立 的 防火 墙 。 











15.2 AAAS 


容器 即 服务 (Contaner as a Service, CaaS) 可 以 按 需 提供 容器 化 环 
境 和 应 用 服务 。 有 具体 说 来 ，CaaS 提 供 一 个 受 控 的 、 安 全 的 应 用 环境 ， 让 
开发 人 员 以 自助 的 方式 构建 和 部 署 应 用 ， 如 网 15-3 所 示 。 
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图 15-3 CaaS Workflow 


开发 和 运 维 团 队 (Developers) 通过 Docker Registry 相 互 协 作 。 
Registry 服 务 维护 一 个 安全 的 经 过 签名 的 映像 仓库 。 开 发 者 
(Developers) 可 以 通过 Registry 服 务 将 应 用 镜像 拉 取 至 本 地 ， 并 按 上 自己 


的 意愿 构建 应 用 。 当 应 用 通过 集成 测试 后 ， 开 发 者 将 其 推送 至 
ee 
5 o 


CaaSs 的 崛起 将 促进 Ops-originated 类 型 的 程序 交付 。 开 发 与 运 维 之 间 
的 平衡 、 灵 活性 和 控制 将 会 改善 。 基 于 容器 的 服务 将 发 展 到 以 运 维 主 
导 ， 代 蔡 原 来 的 开发 者 模型 ， 开 发 和 运 维 将 共享 开发 生命 周期 。 当 然 ， 
容器 也 将 成 为 生产 主流 。 
15.2.1 基本 要 素 与 关键 特性 

一 般 而 言 ，CaaS 应 该 可 以 提供 容器 运行 平台 ， 并 管理 容器 所 需 资 
Vi; 基于 IaaS 提 供 灵 活 的 网 络 与 部 署 能 力 ; 文 持 多 租户 ; 文 持 高 弹性 。 
具体 而 言 ，CaaS 有 以 下 基本 要 素 : 

容器 调度 : 调度 和 管理 容器 ; 


HRA ACH: 将 容 句 化 的 服务 ， 注 册 到 服务 发 现 工具 ， 确 保 服 务 之 
间 的 通信 ; 


网 络 配 置 ， 用 户 可 访问 容器 ， 并 实现 跨 主 机 容器 通信 ; 
安全 配置 : 只 开放 容器 监听 的 端口 ; 

负载 均衡 : 避免 单 点 过 载 ; 

-数据 持久 化 : 容器 内 数据 云端 持久 化 ; 

容错 与 高 可 用 : 日 志 与 管理 ， 容 器 监控 ; 
-CaaS 的 关键 特性 : 

-开发 者 和 运 维 角色 的 进一步 有 机 融合 。 

-容器 化 应 用 程序 生命 周期 的 所 有 阶段 。 

让 开发 者 更 加 关注 构建 应 用 本 身 ， 而 无 需 关 注 运行 环境 。 
支持 多 种 底层 基础 设施 ， 包 括 多 种 操作 系统 和 平台 。 

















.API 变 得 越 来 越 重要 ， 不 同 服务 之 间 通 过 API 相 互 调用 。 
15.2.2 WDK 

网 易 蜂 哎 是 网 易 基 于 自 研 IaaS 平 台 深度 优化 ， 推 出 的 一 款 采 用 
Docker 容 器 化 技术 的 新 一 代 云 计算 平台 ， 全 面 助力 加 速 研发 全 流程 。 拥 


有 BGP 多 线 接 入 ， 全 万 兆 网 络 ， 全 SSD 存 储 等 优质 硬件 资源 ， 自 底 向 上 
确保 安 人 全、 极速、 稳定 的 研发 体验 ， 参 见 图 15-4。 
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Pe yy ER ERRER m: 


:容器 云 : WERE WANA eae Ga, LAMH ER 
署 ， 云 计算 资源 弹性 扩展 ，Docker 官 方 镜 像 加 速 。 此 外 蜂 曲 还 支持 负载 
均衡 以 及 镜像 仓库 服务 ; 


平台 服务 : 蜂巢 提供 高 性 能 、 高 可 用 、 局 可 徘 的 数据 库 和 绥 存 服 
务 ， 与 容器 云 相 辅 相 成 ， 让 开 友 者 可 以 专注 于 应 用 开发 和 业务 太 展 。 此 
外 蜂 桌 平台 服务 还 提供 对 象 存储 以 及 安全 服务 ; 


: 运 维 工具 : 蜂 梨 提供 性 能 监控 、 报 警 ， 日 志 采 集 等 运 维 工具 ， 提 
升 开 发 、 运 维 效 率 ， 同 时 提供 OpenAPI， 有 灵活 管理 资源 。 
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图 15-4 Pe He ER CaaS Ze Ne A 


AE ase re WE ATE BEA TT EE A i) AL, TD ESE ES ACE AY 
Pom ARS AR, MU GEL S| ACRE ae, TEM EER AHR 
务 ”， 集 群 的 运 维 如 发 布 、 回 滚 、 扩 容 、 缩 容 以 及 集群 的 成 员 管 理 需 要 
引入 编排 服务 来 实现 。 网 易 蜂 巢 的 编排 服务 基于 开源 项 目 Kubernetes， 
编排 服务 将 受 控 的 资源 抽象 为 三 个 层次 : 


Baie: 软件 及 运行 环境 ; 





‘Pod: 相关 联 的 容 髓 的 组 合 ， 相 互 间 通信 无 需 路 网 络 ， 例 如 应 用 服 
务 句 和 本 地 缓存 ， 可 以 容纳 一 个 或 多 个 容 需 ; 


‘Node: 提供 计算 、 网 络 、 存 储 的 资源 节点 ， 可 以 容纳 一 个 或 多 个 
Pod 。 


15.2.3 MEZ 


时 速 云 是 国内 领先 的 容 露 云 平 台 和 解决 方案 提供 商 。 基 于 Docker 为 
代表 的 容器 技术 ， 为 开发 者 和 企业 提供 应 用 的 镜像 构建 、 发 布 、 持 续集 
成 /交付 、 容 器 部 署 、 运 维 管理 的 新 一 代 云 计算 平台 。 其 中 包括 标准 
化 、 高 可 用 的 镜像 构建 ， 存 储 服务 、 大 规模 、 可 伸缩 的 容 圳 托管 服务 ， 
及 自 有 主机 集群 混合 云 服 务 。 时 速 云 致力 打造 下 一 代 以 应 用 为 中 心 的 云 
计算 平台 ， 帮 助 客户 优化 开发 运 维 环节 ， 提 高 业务 效率 ， 降 低 IT 成 本 ， 
实现 持续 创新 。 








时 速 云 做 其 于 Kubernetes 的 CaaS 平 台 ， 以 容 右 化 应 用 作为 交付 的 标 
准 ， 立 足 于 公有 云 ， 为 开发 者 和 企业 提供 了 一 个 快速 构建 、 集 成 、 部 
团 、 运 行 容器 化 应 用 的 平台 ， 帮 助 开 发 者 和 企业 提高 应 用 开发 的 迭代 效 
率 ， 简 化 运 维 环节 ， 降 低 运 维 成 本 。 客 户 包括 华 大 基因 、 京 东方 、 中 国 
移动 、 新 浪 、 腾 讯 等 重量 级 用 户 。 


时 速 云 拥有 四 大 核心 产品 线 ， 包 括 : 


企业 级 容器 云 平 台 : 兼 具 1aaS 的 便利 ，PaaS 的 人 简单， 原生 集群 快速 
创建 ， 上 和 于 节点 集群 的 快速 调度 、 部 署 。 


.企业 级 镜像 仓库 : 集群 化 部 署 、 多 角色 权限 控制 、 集 成 企业 
LDAP、 增 强 扩展 组 件 、 可 视 化 管理 。 


持续 集成 和 持续 交付 “CLCD〉: 轻松 云端 构建 、 定 制 集成 、 部 署 
规则 、 事 件 触 发 定义 、 关 键 环节 审核 。 


:镜像 及 安全 服务 中 心 : 多 层次 镜像 扫描 、 服 务 安全 防护 、 可 视 化 
审查 、 第 三 方 规则 接 入 。 


15.2.4 Daocloud 
Daocloud 成 立 于 2014 年 末 ， 是 新 一 代 容 右 云 计算 领域 的 明星 企业 。 


DaoCloud 产 品 线 涵盖 互联 网 应 用 的 开发 、 交 付 、 运 维和 运营 全 生命 周 
期 ， 并 提供 公有 云 、 混 合 云 和 私有 云 等 多 种 交付 方式 。 参 见 图 15-5。 
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15-5 Daocloud CaaS 平 台 


除了 公有 云 服 务 开始 商用 之 外 ，DaoCloud 还 公布 了 面向 大 型 企业 用 
户 ， 以 混合 云 方式 交付 的 托管 云 和 私有 云 服 务 。 在 企业 既 有 IT 框架 内 ， 
针对 有 具体 企业 业务 需求 ， 定 制 高 度 可 控 的 路 云 路 网 的 混合 式 容器 云 平 
台 ， 帮 助 企 业 打 造 支撑 互联 网 级 业务 的 基础 设施 。 

DaoCloud 对 国内 容 堪 技术 社区 有 不 间断 的 技术 和 资源 投入 ，Docker 
Hub 加 速 器 在 国内 被 开发 者 广泛 使 用 ， 并 承 诡 为 开发 者 提供 永久 免费 的 
社区 资源 服务 。 


15.25 REX 

















灵 和 省 云 成 立 于 2014 年 10 月 ， 总 部 位 于 美国 西雅图 市 ， 是 微软 创 投 加 
速 器 成 员 。 云雀 科技 致力 于 提供 人 亲 单 快捷 的 云 平台 和 服务 ， 帮助 客户 提 
高 开发 部 署 效率 ， 降低 谷 户 IT 成 本 ， 并 使 客户 可 以 专注 于 核心 业务 。 云 
从 科技 产品 线 以 容器 这 个 新 一 代 应 用 交付 件 为 中 心 ， 全 方位 支持 云端 应 
用 创建 、 编 译 、 集 成 、 部 署 、 运 行 的 每 一 个 环节 。 


, Malovdo 


RED ESRA 


灵 和 省 云 产 品 线 包 括 Docker 托 管 服务 和 镜像 服务 。Docker 托 管 服务 提 
供 高 效 ， 高 可 用 的 运行 环境 ， 并 支持 上 自动 化 部 署 。Docker 托 管 服务 还 提 
供 上 自动 修复 ， 目 动 扩 展 ， 负 载 均衡 等 服务 ， 并 在 此 基础 之 上 提供 可 扩展 
的 监控 ， 日 志 管 理 系 统 。 镜 像 服 务 提 供 高 性 能 本 地 Registry 服 务 用 于 创 
建 私 有 ， 公 有 镜像 仓库 ， 提 供 上 传 ， 下载， 构建 及 托管 的 全 方位 镜像 服 
务 。 目 前 ， 灵 稚 云 已 经 在 北京 区 ， 上 海区 和 香港 区 搭建 了 基于 Azure 的 
CaaS 服 务 体系 。 


15.2.6. Be 
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云 、 私 有 云 以 及 混合 云 之 上 的 企业 级 云 操 作 系 统 ， 上 旨 在 帮助 用 户 在 云端 
快速 建立 并 稳定 运行 一 个 高 性 能 生产 环境 ， 将 应 用 弹性 做 到 极致 ， 实 现 
一 站 式 的 微服 务 架构 集群 系统 ， 参 见 图 15-6。 
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图 15-6” 数 人 云 平台 


“ 数 人 云 ” 的 云 操作 系统 ， 是 一 于 部 署 在 公有 云 或 者 私有 云 CDC) 
之 上 的 应 用 运 维 软件 ， 旨 在 帮助 用 户 在 云端 快速 建立 并 稳定 运 维 一 个 高 
性 能 生产 环境 。 基 于 领先 的 Mesos 和 Docker 技 术 ， 数 人 云 可 为 用 户 的 业 
务 系统 融 来 高 可 用 的 服务 质量 ， 快 速 的 性 能 伸缩 ， 高 效 的 资源 利用 以 及 
便捷 的 可 视 化 管理 和 监控 ， 同时 ， 数 人 云 保 证 用 户 的 计算 资源 和 数据 完 
全 为 用 户 私 有 可 控 。 














15.3 ”阿里 云 容器 服务 


ACS (Alicloud Container Service， 阿 里 云 容 器 服务 ) 是 一 种 高 性 能 
可 伸缩 的 容器 管理 服务 ， 支 持 在 一 组 阿里 云云 服务 器 上 通过 Docker 容 器 
来 运行 或 编排 应 用 。ACS 让 用 户 可 以 轻松 的 进行 容器 管理 集群 的 搭建 。 
此 外 ，ACS 整 合 了 负载 均衡 、 专 有 网 络 等 丰富 的 阿里 云云 产品 ， 足 以 文 
撑 企 业 级 开架 构 的 云 化 与 容器 化 ， 微 服务 化 。 用 户 还 可 以 通过 阿里 云 控 
制 台 或 Restful API (兼容 Docker API) 进行 容器 生命 周期 管理 ， 参 见 图 
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图 15-7 阿里 云 容 器 服务 

ACS 容 器 服务 具有 以 下 优势 : 

.简单 易 用 : 一 键 创 建 容器 集群 ， 全 兼容 Docker Compose 模 板 编排 
应 用 ; 支持 图 形 化 界面 和 Open API; 一 站 式 网 络 、 存 储 、 日 志 、 监 控 、 
调度 、 路 由 和 持续 发 布 管理 ; 

.安全 可 控 : 用 户 拥 有 并 独占 云 服 务 器 ;支持 定制 安全 组 和 专 有 网 
络 VPC 安 全 规则 ， 集 群 级 别 基于 证 书 的 认证 体系 ; 支持 证 书 刷 新 ， 容 器 
级 别 的 资源 隔离 和 流 控 ， 支持 集群 级 别 和 子 账号 级 别 的 权限 管理 ，; 

:协议 兼容 ， 兼容 标准 Docker Swarm API， 支 持 应 用 无 颖 迁 云 ， 支 
持 混 合 云 场 景 ， 兼 容 Docker Compose 模 板 协 议 ， 文 持 通过 API 对 接 ， 实 
现 第 三 方 的 调度 下 发 和 系统 集成 ; 


‘fey SUA SE: SCRA Aa Qa; SCRA aS ae is RZ All Bd) 
伸缩 ， 文 持 跨 可 用 区 的 高 可 用 ; 


下 面 介绍 阿里 云 的 应 用 场景 。 
1.Web 应 用 容器 化 部 署 


容 右 服务 支持 自动 化 地 配置 负载 均衡 SLB 和 后 端 云 服务 器 ECS， 通 
过 选择 Web 应 用 对 应 的 Docker 镜 像 ， 一 键 部 署 : 


文 持 多 种 灰 度 发 布 策略 ， 包 括 赣 绿 发 布 和 金 丝 尖 发 布 ， 保 证 应 用 
平 请 升级 。 


"h a a 
9 策略 。 


支持 通过 声明 的 方式 配置 后 端的 数据 库 等 去 服务。 
2. 持 续集 成 系统 构建 
在 阿里 云 容器 镜像 服务 创建 一 个 目 动 构建 类 型 的 镜像 仓库 ， 选 择 关 


联 代码 源 到 Github 或 云 Code。 当 代码 提交 后 ， 会 触发 Docker 镜 像 的 自动 
构建 ， 参 见 图 15-8。 
































在 镜像 Webhook 里 配置 容器 服务 的 trigger API， 这 样 当 镜像 构建 完 
je 就 会 触发 容器 的 自动 部 车 ， 实 现 流 水 线 般 的 持续 集成 和 持续 交 
寸 。 
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图 15-8 ”Web 应 用 容器 化 部 署 架 构 示 意图 
3. 微 服务 架构 系统 构建 


将 用 户 现 有 的 系统 从 业务 领域 或 横向 扩展 等 维度 拆 分 成 多 个 微服 
务 ， 每 个 微服 务 的 内 容 用 一 个 镜像 管理 。 


通过 Docker Compose 纺 排 模板 描述 微服 务 之 间 的 依赖 关系 和 配置 。 
在 容器 服务 选择 编排 模板 一 键 创建 应 用 ， 参 见 图 15-9。 
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为 了 进一步 提高 容器 服务 的 易 用 性 和 可 用 性 ， 阿 里 云 容 器 服务 提供 
了 许多 常用 工具 ， 如 阿里 云 版 本 docker-machine， 阿 里 云 容器 加 速 器 ， 
以 及 阿里 云 容器 Hub 服 务 。 


如 果 想 要 了 解 更 多 信息 ， 可 以 访问 阿里 云 官方 网 
站 : https://www.aliyun.com. 








15.4 WEARABLE 


时 速 云 是 国内 领先 的 容器 云 平 台 和 解决 方案 提供 商 ， 基 于 Docker 为 
代表 的 容器 技术 ， 为 开发 者 和 企业 提供 应 用 的 镜像 构建 、 快 速 发 布 、 持 
续集 成 /交付 ， 以 及 容器 化 应 用 的 部 署 运行 、 运 维 管理 的 新 一 代 云 计算 
平台 。 其 中 包括 标准 化 、 高 可 用 的 镜像 构建 ， 分 布 式 、 高 可 用 的 存储 服 
务 ， 大 规模 、 可 伸缩 的 容器 托管 服务 ， 以 及 私有 主机 集群 管理 的 混合 云 
服务 。 时 速 云 也 一 直 致 力 于 打造 下 一 代 以 应 用 为 中 心 的 云 计算 平台 ， 帮 
助 用 户 优 化 开发 运 维 环 节 ， 提 高 业务 效率 ， 降 低 IT 成 本 ， 实 现 持 续 创 
新 。 其 架构 参见 图 15-10。 


时 速 云 公有 云 服 务 的 主要 功能 包括 “ 容 右 服务 "、“ 持 续集 成 “ 镜 
BARA”. “服务 编排 ?和 “私有 集群 >， 涵 瘟 了 以 容器 技术 为 基础 的 应 用 
平台 所 需要 的 文 撑 能 力 ， 权 衡 了 平台 未 来 对 公有 云 、 私 有 云 以 及 混合 云 
等 不 同 场景 的 扩展 支持 。 通 过 容器 技术 的 运用 ， 平 台 具 有 如 下 特点 。 
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Er MIA ETT 
TenxCloud 云端 管理 模块 公有 云 服务 


时 速 云 仅 有 集群 私有 Docker 主机 集群 
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图 15-10 ”时 速 云 微服 务 架构 系统 构建 染 构 示意 图 


1. 标 准 、 轻 量 的 镜像 和 容器 技术 


为 用 户 应 用 开发 提供 统一 、 自 动 的 交付 流程 ， 避 免 平台 依赖 性 ， 
单 、 快 速 的 在 不 同 平台 之 间 迁 移 ， 轻 松 实现 应 用 级 别 的 版 本 控制 ， it 
级 、 回 滚 、 弹 性 伸缩 ， 以 及 监控 管理 ， 通 过 操作 系统 层 的 隔离 技术 ， 提 
高 底层 资源 的 利用 率 。 


2. 丰 富 的 镜像 服务 
平台 上 积累 了 上 万 种 镜像 服务 ， 涵 盖 了 操作 系统 、 各 种 语言 开发 环 


oo Web 服 务 器 ， 满 足 用 户 快 速 上 手 使 用 和 高 级 定制 化 的 各 


3. 从 代码 到 部 团 运 维 的 一 整套 自动 化 方 采 


通过 集成 代码 托管 服务 (支持 GitHub、BitBucket、Coding、Gitlab 
等 主要 代码 仓库 ) ， 实 现 从 代码 提交 到 自动 镜像 构建 的 持续 集成 ， 以 及 
对 服务 进行 自动 更 新 的 持续 部 署 服务 ， 再 结合 平台 的 管理 运 维 能 力 ， 大 
大 减 小 应 用 开发 的 成 本 ， 并 提高 迭代 效率 。 


4. 私 有 容器 集群 


私有 容器 集群 是 “时 速 云 ?推出 的 最 有 特色 的 功能 之 一 。 顾 名 思 
XL, “集群 "是 由 多 个 计算 机 组 成 ， 但 不 仅仅 是 机 口 的 堆砌 ;作为 一 个 整 
体 ， 集 群 用 来 提供 高 质量 不 间断 的 服务 ， 具 有 很 蜗 的 容错 性 ， 而 集群 中 
的 单个 节点 《一 般 指 机 器 ) 实现 功能 上 相同 或 者 互补 的 服务 ， 一 旦 宕 
机 ， 应 用 会 快速 迁移 到 其 他 可 用 节点 ， 保 证 业务 的 连续 性 。 而 且 平 台 提 
供 了 普通 、 路 云 两 种 集群 模式 ， 适 用 于 不 同 用 户 的 场景 需求 。 


通过 集群 化 的 管理 用 户 的 实体 主机 、 虚 拟 机 或 者 云 主机 上 的 资源 ， 
合理 规划 和 充分 利用 现 有 的 计算 和 存储 资源 ， 并 在 自己 的 私有 和 集群 上 尝 
试 、 运 用 镜像 和 容 右 技术 ， 通 过 这 些 新 技术 推进 自己 的 产品 在 开 肥 、 运 
ee 
ZAR o 


如 果 和 希望 了 解 关 于 时 速 云 的 更 多 信息 ， 可 以 访问 官方 网 
站 : https://www.tenxcloud.com. 














15.5 ”本 章 小 结 


本 间 介 绍 了 公有 云 服 务 对 Docker 的 积极 支持 ， 以 及 新 出 现 的 容 莫 云 
E 


通过 整合 公有 云 的 虚拟 机 和 Docker 方 式 ， 可 能 获得 更 多 的 好 处 ， 包 


括 : 

更 快速 的 持续 交付 和 部 著 能 

利用 内 核 级 虚拟 化 ， 对 公有 云 中 服务 器 资源 进行 更 加 高 效 的 利 
FAs 


利用 公有 云 和 Docker 的 特性 更 加 方便 地 迁移 和 扩展 应 用 。 


同时 ， 容 器 将 作为 与 虚拟 机 类 似 的 业务 直接 提供 给 用 户 使 用 ， 极 大 
地 丰富 了 应 用 开发 和 部 赣 的 场景 。 


第 16 章 ”容器 实战 思考 


在 大 量 应 用 容器 技术 到 开发 和 运 维 实践 中 之 后 ， 相 信 读 者 都 会 产 
不 少 体 会 。 这 个 时 候 ， 及 时 进行 经 验 总 结 十 分 有 必要 。 


本 章 笔 者 将 分 享 目 己 在 实践 中 的 一 些 思 考 体会 ， 包 括 开 发 人 员 该 如 
何 看 待 容器，DevOps 团 队 该 如 何 使 用 容器 ， 以 及 生产 部 车 容 侣 的 一 些 
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16.1 Docker 为 什么 会 成 功 


Docker 实 现 的 种 种 基础 技术 (cgroups、namespace、 分 层 文件 系 
统 ) 在 Docker 之 前 已 经 存在 很 多 年 。 并 且 ，LXC 也 在 诸多 企业 的 生产 环 
境 中 得 到 了 大 量 的 应 用 实践 ， 并 得 到 了 极为 明显 的 性 能 优势 。Google 大 
规模 容器 集群 的 性 能 比 传统 虚拟 机 要 高 很 多 ， 接 近 于 Bare Metal。 与 传 
统 虚 拟 机 相 比 ， 容 器 集群 让 这 些 公司 拥 有 秒 级 而 非 分 钟 级 的 弹性 计算 伸 
缩 能 力 ， 同 时 使 用 更 少 的 机 器 运行 更 多 实例 。 


既然 容器 技术 有 如 此 大 的 优势 ， 为 什么 Docker 之 前 ， 容 器 并 没有 引 
发 广泛 的 关注 呢 ? 核心 的 问题 在 于 易 用 性 ， 而 Docker 解 决 了 这 个 问题 。 


Docker 首 次 创造 了 一 种 简单 易 行 并 且 和 窗 盖 应 用 全 生命 周期 的 工作 
流 ， 用 户 可 以 通过 简单 的 指令 或 Restful API 来 拉 取 、 打 包 、 运 行 和 维护 
容 促 。 这 种 简化 从 根本 上 降低 了 应 用 程序 部 署 的 难度 ， 极 大 地 提高 了 应 
用 运行 时 环境 的 部 署 与 维护 的 效率 。 用 户 可 以 不 依赖 类 似 Ansible、 
Chef、Puppet 这 类 的 配置 管理 和 发 布 系统 ， 不 需要 在 部 普 中 同时 关注 基 
础 系统 与 软件 的 安装 配置 ， 以 及 应 用 的 安装 调试 。 


Docker 提 供 了 一 种 统一 的 实践 方法 ， 每 个 服务 〈 或 应 用 ) 维护 一 个 
Dockerfile 文 件 。 即 便 使 用 编排 工具 如 Docker Compose， 一 个 服务 (或 
应 用 ) 也 只 需 维 护 一 个 docker-compose.yml 文 件 。 应 用 程序 及 其 运行 时 
环境 全 部 打包 到 一 个 简单 易 读 的 Dockerfile 或 Compose 文 件 中 ， 开 发 团队 
和 运 维 团队 都 可 以 透明 地 合作 维护 这 个 文件 ， 极 大 降低 了 沟通 成 本 与 部 
署 成 本 ， 极 大 满足 了 研发 团队 与 DevOps 团 队 、 运 维 团 队 之 间 的 沟通 需 
求 ， 清 晰 划分 了 员 任 边界 。 


Docker 下 以 一 种 前 所 未 有 的 方式 让 用 户 可 以 在 各 种 Linux 发 行 版 、 
各 种 开发 环境 中 快速 切换 ， 这 对 应 用 开发 者 来 说 真是 一 种 福音 。 使 用 各 
种 开发 环境 的 用 户 ， 再 也 不 必 担 心 破坏 主机 的 系统 环境 《〈 如 环境 变量 ) 
和 应 用 程序 。 系 统 架 构 师 们 也 可 以 使 用 Docker 来 快速 搭建 各 种 网 络 架 构 
的 系统 ， 且 可 以 方便 地 管理 这 些 系统 之 间 的 数据 连接 和 共享 。 目 前 
Docker 发 展 迅 速 ， 基 于 Docker 的 Paas 平 台 也 层出不穷 。 这 让 技术 创业 者 
无 需 折 腾 服 务 嚣 部署 ， 只 需 专注 业务 代码 的 实现 即 可 。 


真正 解决 用 户 痛 点 ， 真 正 带 来 效率 的 提升 ， 是 一 个 产品 和 技术 能 最 
终 成 功 的 关键 ! 






































16.2 HHARA RIAU AR F 


RE WR LAVA i lel: 我 是 搞 开 发 的 ， 容 需 技 术 跟 我 有 关 么 ? 
其 实 ， 笔 者 在 实践 过 程 中 发 现 ， 合 理应 用 容器 技术 ， 不 光 能 极 大 提升 开 
发 效率 ， 也 能 提升 自身 技术 水 平 。 


1. 快 速 上 手 新 技术 


众所周知 ， 新 技术 的 学 习 往往 从 学 习 简 单 示例 〈 例 如 Hello World) 
开始 。 这 是 学 习 新 知识 的 标准 思路 : 最 小 系统 原则 ， 即 从 变量 最 少 的 最 
小 系统 开始 ， 循 序 渐进 地 学 习 。 


现实 生活 中 ， 简 单 的 事物 背后 往往 旨 含 着 复杂 的 机 制 。 用 户 在 构建 
最 小 系统 的 时 候 ， 首 先 面 对 的 就 是 其 母 环 境 《〈 或 者 说 前 置 条 件 ) 的 搭 
建 。 虽 然 随 独 程 序 语言 和 系统 程序 的 有 发展， 语言 和 工具 都 设计 得 越 来 越 
方便 。 但 学 习 成 本 仍然 居 高 不 下 ， 各 大 编程 语言 论坛 中 关于 环境 安装 的 
问题 总 是 层出不穷 。 


通过 Docker 的 使 用 ， 用 户 可 以 将 精力 和 注意 力 都 尽快 地 放 在 语言 本 
号 的 学 习 3 上， 而 无 需 折 腾 系 统 环境 的 各 种 配置 。Docker 官 网 的 口号 就 包 
IUES X: Build, Ship and Run Any App，Anywhere， 即 任何 应 用 
都 可 以 构建 、 发 布 、 运 行 于 任何 环境 。Docker 将 环境 的 影响 因素 降 至 最 
低 ， 使 开发 者 能 统一 地 掌控 整个 应 用 的 生命 周期 。 


目前 Docker 官 方 支 持 的 编程 语言 镜像 束 有 十 几 种 ， 涵 新 所 有 的 主流 
编程 语言 的 开发 环境 。 除 此 之 外 ， 和 党 用 数据 库 、 绥 存 系统 、 主 流 Web 框 
架 等 都 有 官方 的 镜像 。 除 此 之 外 ，Docker Hub 还 提供 了 丰富 的 第 三 方 镜 
像 和 Dockerfile。 


2. 容 器 化 的 代码 仓库 


经 常 整理 和 收集 常用 代码 库 往 往 是 软件 工程 师 实现 高 效 交 付 的 “ 秘 
WR’ o 


在 技术 团队 中 ， 为 何 行业 新 人 和 资深 工程 师 之 间 的 生产 力 可 以 有 几 
倍 甚至 几 十 倍 的 差距 呢 ? 暂且 不 论 眼界 思路 和 基础 技能 的 差距 ， 同 样 是 
做 一 件 任务 ， 新 人 接手 后 首先 面 对 的 就 是 思路 和 工具 的 抉择 ， 然 后 需要 




















解决 实践 中 的 各 种 “ 坑 ?”。 而 资深 工程 师 接手 后 ， 可 以 快速 规划 所 需要 的 
— 并 在 最 短 时 间 内 利用 积累 的 模块 搭建 起 系统 ， 从 而 可 以 快速 完成 
EF -o 
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存 。 以 后 遇 到 类 似 的 需求 ， 可 以 直接 运行 ， 调 试 并 复 用 代码 。 


3. 面 向 业务 编程 


软件 开 友 ， 除 非 是 算法 比赛 ， 在 本 质 上 是 要 能 解决 业务 问题 ， 满 足 
需求 方 的 要 求 。 

最 近 几 年 ， 各 种 新 的 技术 和 工具 层出不穷 ， 虽 然 万 变 不 离 其 宗 ， 但 

了 决 速 税 握 新 的 业务 需求 和 新 的 技术 栈 ， 古 对 一 个 优秀 技术 人 员 的 迫切 


Sb | 
Ke 
ma SP 











笔者 根据 Docker 的 特性 ， 给 出 一 个 可 行 方案 : 使 用 Docker 快 速 掌握 
新 技术 要 点 并 完成 适当 的 技术 储备 。 假 定 读者 是 Python 技术 栈 的 后 端 工 
程 师 ， 熟 意 常规 网 站 的 后 台 建 设 ， 那 么 如 何 快速 实现 移动 应 用 的 Restful 
API Severe? 读者 可 以 去 Docker Hub 搜 索 适 合 做 API 服 务 器 的 Python 快 
速 开发 框 如 ， 根 据 上 自身 业 务 需求 修改 Dockerfile， 定 制 符合 要 求 的 镜 
像 ， 然 后 快速 启动 一 套 能 满足 相关 API 的 系统 。 


可 见 ， 容 器 技术 可 以 帮助 软件 工程 师 更 加 专注 的 面向 业务 需求 ， 快 
速记 用 新 技能 。 


4. 使 用 Docker Hub 发 布 开源 项 目 


技术 人 员 从 社区 借鉴 和 学 习 各 种 好 用 的 工具 和 技能 时 ， 也 需要 积极 
反馈 于 社区 ， 共 同 营造 一 个 良好 的 生态 环境 。 


笔者 在 此 建议 : 读者 如 果 参 与 开源 项 目的 建设 ， 那 么 可 以 通过 
Docker 完 成 程序 的 打包 、 测 试 、 发 布 和 部 署 ， 通 过 Docker Hub 来 管理 和 
维护 镜像 。 这 样 可 以 统一 又 清晰 地 管理 整个 开源 项 目 。 


16.3 ”容器 化 开发 模式 


传统 模式 中 ， 开 发 团队 在 开发 环境 中 完成 软件 开发 ， 本 地 完成 单元 
测试 ， 测 试 通过 ， 则 可 提交 到 代码 版 本 管理 库 ; 测试 团队 打包 进行 进 一 
步 测试 。 运 维 团 队 把 应 用 部 署 到 测试 环境 ， 开 发 团队 或 测试 团队 再 次 进 
行 测 试 ， 没 问题 后 通知 部 署 人 员 发 布 到 生产 环境 。 


在 上 述 过 程 中 涉及 三 个 环境 : 开发 、 测 试 和 生产 ， 以 及 三 个 团队 : 
开发 、 测 试 、 运 维 。 多 个 环境 和 多 个 团队 之 间 的 这 种 交互 ， 很 容易 出 现 
彼此 环境 不 一 致 的 情况 ， 浪 费 不 必要 的 人 力 物力 。 


在 容器 模式 中 ， 应 用 是 以 容器 的 形式 存在 ， 所 有 和 该 应 用 相关 的 依 
a 因此 移植 非常 方便 ， 不 会 存在 像 传统 模式 那样 的 环境 
\ 一 致 的 情况 。 


下 面 比较 了 两 种 模式 下 的 不 同 流程 ， 如 图 16-1 所 示 。 
1. 操 作 流 程 


在 容 占 化 的 应 用 中 ， 项 目 染 构 师 和 开发 人 员 的 作用 贯穿 整个 开发 、 
测试 、 生 产 三 个 环节 。 


项 目 伊始 ， 架 构 师 根据 项 目 预 期 创建 好 需要 的 基础 base 镜 像 ， 
nginx、tomcat、mysql 镜 像 或 者 将 Dockerfile 分 发 给 所 有 开发 人 员 ， 上 所 有 
开发 人 员 根 据 Dockerfile 创 建 的 容器 或 者 从 内 部 仓库 PRISER TT IT 。 
发 ， 达 到 开发 环境 的 充分 一 致 。 知 开发 过 程 中 需要 添加 新 的 软件 ， 只 需 
要 向 架构 师 申 请 修改 基础 base 镜 像 的 Dockerfile 即 可 。 


开发 任务 结束 后 ， 架 构 师 调整 Dockerfile 或 者 Docker 镜 像 ， 然 后 分 
人 测试 部 门 马 上 融 可 以 进行 测试 ， 消 除了 部 晋 困 难 等 难 缠 
问题 











开发 部 门 和 用 镜像 
进行 开发 


测试 部 门 进行 测试 


测试 部 门 进行 测试 





无 问题 Alb 





a) 传统 开发 流 和 b) 容 名 化 开发 流程 


图 16-1 传统 模式 vs 容器 模式 下 的 工作 流程 比较 
2 场景 示例 


假定 对 于 一 个 200 人 左右 的 软件 企业 ， 主 要 使 用 Java 作 为 开发 语 
言 ， 使 用 Tomcat、Weblogic 作 为 中 间 件 服务 器 ， 后 台数 据 库 使 用 
Oracle、MySQL 等 。 


在 应 用 容器 之 前 ， 开 友 到 测试 的 流程 如 图 16-2 所 示 。 


可 见 ， 残 是 因为 环境 的 不 一 样 ， 开 发 、 测 试 、 运 维 三 个 部 门 做 了 很 
多 重复 的 工作 。 


而 容 占 正好 可 以 解决 这 个 问题 ， 大 大 简化 了 工作 流程 ， 如 图 16-3 所 
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3. 注 意 事 项 

首先 ， 在 开发 和 测试 环境 中 ， 推 荐 使 用 -v 共 享 文件 夹 来 存储 开发 人 
员 的 程序 代码 ， 避 免 频 繁 打 包 操 作 。 

其 次 ， 利 用 基础 base 镜 像 的 继承 特性 来 调整 镜像 的 轻微 变更 。 例 如 
当 需 要 测试 程序 对 不 同 版 本 JDK 的 支持 情况 时 ， 只 需 改 变 base 镜 像 的 
JDK 设 置 ， 然 后 其 他 依赖 它 的 镜像 在 重新 创建 的 过 程 中 就 可 以 自动 完成 
更 新 。 

最 后 ， 测 试 部 门 应 当 注意 Docker 以 及 镜像 的 版 本 ， 并 经 常 对 部 署 后 
的 应 用 程序 进行 性 能 上 的 测试 。 
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新 的 java 类 一 下 开发 完了 ， 
,赶紧 push FMZ. 


TG ean 生产 服务 各 
nginx nginx 
tomact/weblogic tomact/weblogic 
mysql/oracle mysql/oracle 


图 16-2 ”传统 的 开发 流程 








项 目 架构 师 
Dockerfile 


nginx 容 价 
tomcat 44 
mysql 44% 


开发 部 站 测试 部 门 运 维 部 站 
图 16-3 ”利用 容器 环境 开发 的 流程 


16.4 ”容器 与 生产 环境 


不 同 的 产品 技术 团队 对 生产 环境 可 能 有 不 同 的 解读 。 在 这 里 ， 生 产 
环境 是 指 企业 运行 其 商业 应 用 的 IT 环境 ， 是 相对 于 开发 环境 、 预 发 布 环 
境 和 测试 环境 而 言 的 。 


在 生产 环境 中 ， 容 器 既 可 以 作为 API 后 端 服务 器 ， 也 可 以 作为 业务 
应 用 的 Web 服 务 占 ， 还 可 以 作为 微服 务 中 的 服务 证 把 。 但 是 不 管用 户 将 
容 吉 用 于 哪 种 场景 ， 在 生产 环境 中 运行 容 需 与 其 他 环境 相 比 ， 在 安全 性 
与 稳定 性 等 方面 都 存在 更 高 要 求 。 


Docker 算 是 IT 生产 环境 与 基础 设施 的 新 成 员 。 近 些 年 ，Docker 在 
DevOps 和 基础 设施 领域 中 快速 风靡 起 来 。Google、IBM、Amazon、 
Microsoft， 以 及 几乎 所 有 云 计 算 供 应 商都 宣布 支持 Docker。 人 很 多 容器 领 
域 中 的 创业 公司 都 在 2014 年 或 2015 年 初 获 得 了 风险 投资 。 同 时 ，Docker 
公司 在 2015 年 的 估 值 也 达到 了 10 亿 美元 。 


尽管 Docker 获 得 广大 公有 云 厂商 的 大 力 支 持 ， 但 是 目前 容器 技术 生 
态 中 己 经 存在 许多 分 支 与 分 歧 ， 如 rkt 项 目 。 为 了 解决 容器 生态 中 的 差异 
化 问题 ， 为 了 从 根本 上 解决 生产 环境 中 运用 Docker 的 风险 ，Google、 
Intel、Microsoft、IBM、Amazon、VMware、Oracle、HPE、Facebook 等 
IT 巨头 于 2015 年 6 月 共同 宣布 成 立 OCI (Open Container Initiative) 组 织 
uy。OCI 组 织 的 目标 在 于 建立 通用 的 容器 技术 标准 。 除 了 保障 与 延续 既 有 
容 絮 服务 的 生命 周期 外 ， 还 通过 不 断 推 出 标准 的 创新 的 容器 解决 方案 赋 
能 开发 者 。 而 OCI 成 员 企 业 也 会 秉持 开放 、 安 全 、 弹 性 等 核心 价值 观 来 
发 展 容器 生态 。 客 观 而 言 ，OCI 组 织 的 出 现 确立 了 容器 技术 的 标准 ， 避 
倪 容 器 技术 被 单一 厂商 垄断 。 统 一 技术 标准 后 ， 广 大 企业 不 用 担心 未 来 
新 兴 的 容器 技术 不 兼容 Docker。 


2016 年 开始 ， 大 量 企业 的 应 用 开始 云 化， 部 分 已 经 云 化 的 企业 ， 开 
台 实 施 全 面容 器 化 和 微服 务 化 。 不 过 ， 用 户 不 应 该 把 容 颖 当做“ 银 弹 ”， 
并 不 是 所 有 应 用 和 服务 都 适合 容 右 化 。 对 于 “12 要 系 2 类 型 应 用 ， 容 器 
化 是 非常 容易 和 平滑 的 。 因 为 这 些 应 用 是 无 状态 的 ， 而 且 它 们 在 微服 务 
架构 中 可 以 在 很 短 时 间 内 完成 局 停 ， 高 度 保 证 了 整个 服务 的 可 用 性 。 传 
m 状态 应 用 、 对 网 络 吞 吐 性 能 有 高 要 求 的 应 用 并 不 适合 容器 
































可 以 说 ， 绝 大 部 分 的 分 层 架 构 的 企业 架构 ， 部 可 以 平滑 地 在 生产 环 
境 中 容 占 化 。 而 绝 大 部 分 完成 容 莫 化 的 企业 架构 ， 部 可 以 通过 代码 重 构 
完成 微服 务 化 ， 这 样 可 以 从 服务 层面 进一步 提高 可 用 性 ， 进 一 步 降低 IT 
固定 成 本 。 降 低 持 续集 成 与 部 署 成 本 。 


现在 越 来 越 多 的 企业 正在 生产 环境 中 使 用 Docker，Docker 镜 像 下 载 
量 在 2014 年 12 月 是 6700 万 ， 一 年 后 ， 镜 像 下 载 量 上 升 到 了 12 亿 。 最 近 某 
容器 服务 的 研究 显示 ， 八 成 的 开 从 业者 了 解 和 接触 过 Docker， 四 成 的 组 
H ee 预计 这 个 比例 会 在 未 来 两 年 内 还 会 
继续 。 


在 生产 环境 中 使 用 容器 时 ， 需 要 考虑 几 个 问题 ， 下 面 的 建议 供 大 家 








参 


.如果 Docker 出 现 不 可 控 的 风险 ， 是 否 考虑 了 备 选 的 解 诀 方案 ; 


是否 需要 对 Docker 容 堪 做 资源 限制 ， 以 及 如 何 限制 ， 如 CPU、 内 
存 、 网 络 、 人 磁盘 等 ; 


目前 ，Docker 对 容器 的 安全 管理 做 得 不 够 完善 ， 在 应 用 到 生产 环 
境 之 前 可 以 使 用 第 三 方 工具 来 加 强 容器 的 安全 管理 。 如 使 用 apparmor 对 
容 吉 的 能 力 进行 限制 、 使 用 更 加 严格 的 iptable 规 则 、 茶 止 root 用 户 登 
录 、 限 制 普通 用 户 权限 以 及 做 好 系统 日 志 的 记录 ; 


公司 内 部 私有 仓库 的 管理 、 镜 像 的 管理 问题 是 售 解 决 。 目 前 官方 
提供 的 私有 仓库 管理 工具 功能 并 不 十 分 完善 ， 奋 在 生产 环境 中 使 用 还 需 
要 更 多 的 工作 。 


U] OCI 组 织 官网 : https://www.opencontainers.org/ 
[2] 12 Factor App: https://12factor.net/， 本 书后 面 第 28 章 也 介绍 了 这 个 概 
念 。 
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16.5 ”本 章 小 结 


本 章 主 要 介绍 了 在 实战 中 使 用 容器 技术 的 一 些 思 考 。 信 息 技 术 行业 
是 前 所 未 有 的 一 个 快速 变革 的 行业 ， 极 其 注重 效率 和 可 靠 性 。 一 直 以 
来 ， 产 品 研发 流程 中 最 让 人 类 痛 的 一 点 就 是 研发 周期 管理 。 无 论 是 传统 
模式 还 是 快速 迭代 、 课 布 流 ， 都 需要 有 完善 的 代码 周期 文 持 。 容 咯 化 坚 
无 疑问 地 灸 合 了 这 一 需求 ， 为 产品 研发 带 来 了 生产 力 的 提升 。 

笔者 认为 ， 自 容器 之 后 ， 信 息 产 业 将 会 上 升 到 一 个 更 高 的 阶段 ， 更 


多 的 生产 力 将 被 解放 去 攻克 核心 的 技术 问题 。 在 这 个 过 程 中 ， 技 术 人 员 
要 主动 拥抱 变化 ， 早 日 掌握 新 时 代 的 工作 模式 和 核心 技能 。 





Pets — y VIL TA EE OE 
第 三 部 分 ” 进 阶 技能 

:第 17 章 ” Docker 核心 实现 技术 

:第 18 章 ”配置 私有 仓库 

:第 19 章 ”安全 防护 与 配置 

:第 20 章 ”高 级 网 络 功 能 

.第 21 章 jlibnetwork 插 件 化 网 络 功能 

经 过 前 两 部 分 的 详细 讲解 和 案例 实践 ， 相 信 读 者 已 经 熟练 掌握 了 
Docker 相 关 的 常见 操作 和 应 用 技巧 。 但 要 想 在 实践 中 灵活 运用 ， 还 需要 
大 量 的 练习 。 

那么 ，Docker 是 如 何 实 现 的 ? 它 目 前 有 何 问 题 ? 它 的 技术 生态 环境 
是 否 已 经 成 长 起 来 了 ? 接 下 来 ， 笔 者 将 在 第 三 部 分 介绍 Docker 相 关 的 进 
阶 技 能 ， 本 部 分 共有 5 章 内 容 。 


第 17 章 介绍 Docker 的 核心 实现 技术 ， 包 括 架 构 、 命 名 空间 、 控 制 
组 、 联 合 文件 系统 、 虚 拟 网 络 等 技术 话题 。 


第 18 章 介绍 使 用 Docker Registry 来 创建 和 管理 私有 的 镜像 仓库 。 


第 19 半 从 命名 空间 、 控 制 组 、 内 核能 力 、 服 务 端 、 第 三 方 工具 等 角 
度 来 剖析 保障 Docker 安 全 的 相关 手段 。 


第 20 章 具体 讲解 Docker 使 用 网 络 的 一 些 高 级 配置 等 ， 并 分 析 底 层 实 
现 的 技术 过 程 。 


最 后 ， 在 第 21 章 笔者 还 将 介绍 Docker 强 大 的 插件 化 网 络 支 持 - 
libnetwork， 文 持 更 多 的 网 络 应 用 场景 。 











第 17 音 ”Docker 核 心 实现 技术 


作为 一 种 容器 虚拟 化 技术 ，Docker 深 度 应 用 了 操作 系统 的 多 项 底层 
文 持 技术 。 


早期 版 本 的 Docker 是 基于 已 经 成 熟 的 Linux Container (LXC) 技术 
实现 的 。 自 Docker 0.9 版 本 起 ，Docker 逐 渐 从 LXC 转 移 到 新 的 
libcontainer Chttps://github.com/docker/libcontainer) 上 ， 并 且 积 极 推 动 开 
放 容 器 规范 runc， 试 图 打造 更 通用 的 底层 容器 虚拟 化 库 。 


从 操作 系统 功能 上 看 ， 目 前 Docker 底 层 依赖 的 核心 技术 主要 包括 
Linux 操 作 系 统 的 命名 空间 (Namespace) 、 控 制 组 (Control Group) 、 
联合 文件 系统 (Union File System) 和 Linux 网 络 虚 拟 化 支持 。 本 章 将 介 
绍 这 些 核 心 技 术 的 实现 。 


17.1 基本 架构 


Docker 目 前 采用 了 标准 的 C/S 架 构 ， 如 图 17-1 所 示 。 客 户 端 和 服务 
端 既 可 以 运行 在 一 个 机 器 上 ， 也 可 运行 在 不 同 机 器 上 通过 socket 或 者 
RESTful API 来 进行 通信 。 








Sdocker pull 


Sdocker run n: 
~~~ Gdocker push | Docker % Fi 





图 17-1 Docker 采 用 了 C/S 架 构 


1. 服 务 端 


Docker Daemon 一 般 在 牡 主 主机 后 台 运 行 ， 作 为 服务 端 接受 来 目 客 
户 的 请 求 ， 并 处 理 这 些 请 求 〈 创 建 、 运 行 、 分 发 容 髓 ) 。 


在 设计 上 ，Docker Daemon 是 一 个 模块 化 的 架构 ， 通 过 专门 的 
Engine 模 块 来 分 发 管理 各 个 来 自 客户 端的 任务 。 

Docker 服 务 端 默认 监听 本 地 的 unix://varrun/docker.sock 套 接 字 ， 只 
人 允许 本 地 的 root 用 户 或 docker 用 户 组 成 员 访 问 。 可 以 通过 -H 选 项 来 修改 
监听 的 方式 。 


例如 ， 让 服务 端 监听 本 地 的 TCP 连 接 1234 端 口 ， 如 下 所 示 : 











$ docker daemon -H 0.0.0.0:1234 

WARN[0000] /!\ DON'T BIND ON ANY IP ADDRESS WITHOUT setting -tlsverify IF YOU 
DON'T KNOW WHAT YOU'RE DOING /!\ 

INFO[0000] New containerd process, pid: 22385 

INFO[0001] [graphdriver] using prior storage driver "aufs" 

INFO[0001] Graph migration to content-addressability took 0.00 seconds 
INFO[0001] Firewalld running: false 

INFO[0001] Default bridge (docker®) is assigned with an IP address 172.17.0.0/16. 
Daemon option --bip can be used to set a preferred IP address 

WARN[0002] Your kernel does not support swap memory limit. 

WARN[0002] mountpoint for pids not found 

INFO[0002] Loading containers: start. 








此 外 ，Docker 还 文 持 通过 HTTPS 认 证 方式 来 验证 访问 。 


Debian/Ubuntu ”14.04 等 使 用 upstart 管 理 启动 服务 的 系统 中 ，Docker 
服务 端的 默认 启动 配置 文件 在 /etc/default/docker。 对 于 使 用 systemd 管 理 
启动 服务 的 系统 ， 配 置 文件 


在 /etc/systemd/system/docker.service.d/docker.conf。 


VY D 
VES 


2. 客 户 端 


Docker 客 户 端 为 用 户 提供 一 系列 可 执行 命令 ， 用 户 用 这 些 命令 与 
Docker Daemon% F.. 


用 户 使 用 的 Docker 可 执行 命令 即 为 客户 端 程序 。 与 Docker Daemon 
不 同 的 是 ， 客 户 端 发 送 命令 后 ， 等 待 服务 端 返 回 ， 一 旦 收 到 返回 后 ， 客 
户 并 了 并 刻 执行 结束 并 退出 。 用 户 执 行 新 的 命令 ， 需 要 再 次 调用 客户 端 命 


令 。 


同样 ， 客 户 端 默认 通过 本 地 的 unix:///varrun/docker.sock 套 接 字 向 服 
务 端 发 送 命令 。 如 果 服 务 端 没 有 监听 在 默认 的 地 址 ， 则 需要 客户 端 在 执 
行 命令 的 时 候 显 式 指 定 服 务 端 地 址 。 


例如 ， 假 定 服务 端 监听 在 本 地 的 TCP 连 接 1234 端 口 tcp://127.0.0.1: 
1234， 只 有 通过 -H 参 数 指定 了 正确 的 地 址 信息 才能 连接 到 服务 端 ， 如 下 
所 示 : 











$ docker version 
Client: 


Version: 1.12.0 

API version: 1.24 

Go version: go1.6.3 

Git commit: 8eab29e 

Built: Thu Sep 28 22:00:36 2016 


OS/Arch: linux/amd64 
Cannot connect to the Docker daemon. Is the docker daemon running on this host? 
$ docker -H tcp://127.0.0.1:1234 version 
Client: 


Version: 1.12.0 
API version: 1.24 
Go version: go1.6.3 
Git commit: 8eab29e 
Built: Thu Sep 28 22:00:36 2016 
OS/Arch: linux/amd64 
Server 
Version: 1.12.0 
API version: 1.24 
Go version: go1.6.3 
Git commit: 8eab29e 
Built: Thu Sep 28 22:00:36 2016 
OS/Arch: linux/amd64 





3. 新 的 以 构 设 计 


应 该 说 ，C/S 架 构 给 Docker 基 本 功能 的 实现 带 来 了 许多 便利 ， 但 同 
时 也 引入 了 一 些 限 制 。 


读者 朋友 们 可 能 发 现 ， 使 用 Docker 时 ， 必 须要 启动 并 保持 Docker 
Daemon 的 正常 运行 ， 它 既 要 管理 容器 的 运行 时 ， 又 要 负责 提供 对 外 部 
API 的 啊 应 。 而 一 旦 Docker Daemon 服 务 不 正常 ， 则 已 经 运行 在 Docker 主 
机 上 的 容器 也 往往 无 法 继续 使 用 。 


Docker 团 队 已 经 意识 到 了 这 个 问题 ， 在 较 新 的 版 本 (1.11.0+) P, 
开始 将 维护 容器 运行 的 任务 放 到 一 个 单独 的 组 件 containerd 中 来 管理 ， 
并 且 支 持 OCI 的 runc 规 范 。 原 先 的 对 客户 端 API 的 支持 则 仍然 放 在 Docker 
Daemon， 通 过 解 而， 大 大 减少 了 对 Docker Daemon 的 依赖 。 


同时 ， 新 的 架构 提高 了 启动 容器 的 速度 ， 一 项 测试 表明 ， 可 以 达到 
每 秒 启动 超过 100 个 容器 。 











17.2 命名 空间 


命名 空间 (namespace) 是 Linux 内 核 的 一 个 强大 特性 ， 为 容器 虚拟 
化 的 实现 带 来 极 大 便利 。 


利用 这 一 特性 ， 每 个 容 需 都 可 以 拥有 上 自己 单独 的 命名 空间 ， 运 行 在 
其 中 的 应 用 都 像 是 在 独立 的 操作 系统 环境 中 一 样 。 命 名 空间 机 制 保证 了 
容器 之 间 彼 此 互 不 影 啊 。 


在 操作 系统 中 ， 包 括 内 核 、 文 件 系统 、 网 络 、PID、UID、IPC、 内 
存 、 硬 盘 、CPU 等 资源 ， 所 有 的 资源 都 是 应 用 进程 直接 共享 的 。 要 想 实 
现 虚 拟 化 ， 除 了 要 实现 对 内 存 、CPU、 网 络 IO、 硬 盘 IO、 存 储 空间 等 的 
限制 外 ， 还 要 实现 文件 系统 、 网 络 、PID、UID、IPC 等 的 相互 隔离 。 前 
者 相对 容易 实现 一 些 ， 后 者 则 需要 宿主 主机 系统 的 深入 文 持 。 


随 着 Linux 系 统 对 于 命名 空间 功能 的 逐步 完善 ， 现 在 已 经 可 以 实现 
这 些 需 求 ， 让 进程 在 彼此 隔离 的 命名 空间 中 运行 。 虽 然 这 些 进 程 仍 在 共 
用 同一 个 内 核 和 某 些 运行 时 环境 (runtime， 例 如 一 些 系统 命令 和 系统 
E) ， 但 是 彼此 是 不 可 见 的 ， 并 且 认 为 目 己 是 独占 系统 的 。 


1. 进 程 命名 空间 


Linux 通 过 命名 空间 管理 进程 号 ， 对 于 同一 进程 〈《 即 同一 个 
task_struct) ， 在 不 同 的 命名 空间 中 ， 看 到 的 进程 号 不 相同 ， 每 个 进程 
命名 空间 有 一 套 上 自己 的 进程 号 管理 方法 。 进 程 命名 空间 是 一 个 父子 天 系 
的 结构 ， 子 空间 中 的 进程 对 于 父 空间 是 可 见 的 。 新 fork 出 的 进程 在 父 命 
名 空间 和 子 命 名 空间 将 分 别 有 一 个 进程 号 来 对 应 。 


例如 ， 查 看 Docker 主 进程 的 pid 进 程 号 是 5989， 如 下 所 示 : 





























$ ps -ef |grep docker 
root 5989 5988 0 14:38 pts/6 00:00:00 docker -d 





新 建 一 个 Ubuntu 的 “hello world” 容 器 : 





$ docker run -d ubuntu:14.94 /bin/sh -c "while true; do echo hello world; 


S /7 
ec559327572b5bf99dof80b98ed3a3b62023844c7fdbea3f8caed4ffa5c62e86 


查看 新 建 容器 进程 的 父 进程 ， 正 是 Docker 主 进程 5989: 





$ ps -ef |grep while 
root 6126 5989 0 14:41 ? 00:00:00 /bin/sh -c while true; do echo 
hello world; sleep 1; done 





2. 网 络 命名 空间 


如 果 有 了 pid 命 名 空间 ， 那 么 每 个 命名 空间 中 的 进程 就 可 以 相互 隔 
离 ， 但 是 网 络 端口 还 是 共 孚 本 地 系统 的 端口 。 


通过 网 络 命名 空间 ， 可 以 实现 网 络 隅 离 。 网 络 命名 空间 为 进程 提供 
了 一 个 完全 独立 的 网 络 协议 栈 的 视图 ， 包 括 网 络 设备 接口 、IPv4 和 IPv6 
协议 栈 、IP 路 由 表 、 防 火 墙 规则 、sockets 等 ， 这 样 每 个 容器 的 网 络 就 能 
隔离 开 来 。Docker 和 采用 虚拟 网 络 设 备 〈Virtual Network Device) 的 方 
式 ， 将 不 同 命名 空间 的 网 络 设备 连接 到 一 起 。 默 认 情 况 下 ， 容 器 中 的 虚 
拟 网 卡 将 同 本 地 主机 上 的 docker0 网 桥 连 接 在 一 起 ， 如 图 17-2 所 示 。 











图 17-2 ”网 络 命名 空间 
使 用 brctl 工 具 可 以 看 到 桥接 到 答 主 主机 docker0 网 桥 上 的 虚拟 网 口 : 





$ brct1 show 

bridge name bridge id STP enabled 

dockerg 8000.56847afe9799 no veth4148 
vethd166 
vethd533 





3.IPC 命 名 空间 


容器 中 进程 交互 还 是 采用 了 Linux 常 见 的 进程 间 交 互 方法 
(Interprocess Communication, IPC) ， 包 括 信号 量 、 消 息 队 列 和 共享 内 
存 等 。PID Namespace 和 IPC Namespace 可 以 组 合 起 来 一 起 使 用 ， 同 一 个 
IPC 命 名 空间 内 的 进程 可 以 彼此 可 见 ， 人 允许 进行 交互 ; 不 同 空间 的 进程 
则 无 法 交互 。 

4. 挂 载 命名 空间 

类 似 于 chroot， 将 一 个 进程 放 到 一 个 特定 的 目录 执行 。 挂 载 命名 空 
间 人 允许 不 同 命 名 空间 的 进程 看 到 的 文件 结构 不 同 ， 这 样 每 个 命名 空间 中 
的 进程 所 看 到 的 文件 目录 彼此 被 隔离 。 


5.UTS 命 名 空间 











UTS (UNIX Time-sharing System) 命名 空间 允许 每 个 容器 拥有 独 
立 的 主机 名 和 域名 ， 从 而 可 以 虚拟 出 一 个 有 独立 主机 名 和 网 络 空 间 的 环 
境 ， 束 跟 网 络 上 一 台独 立 的 主机 一 样 。 


默认 情况 下 ，Docker 容 妖 的 主机 名 就 是 返回 的 容器 ID: 








$ docker ps 
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 
ec559327572b ubuntu:14.04 /bin/sh -c ‘while tr 18 minutes ago 

Up 18 minutes ious_goodall 
$ docker inspect -f {{".Config.Hostname"}} ec5 
ec559327572b 





6.H F mA 2 [i] 


每 个 容器 可 以 有 不 同 的 用 户 和 组 id， 也 就 是 说 可 以 在 容器 内 使 用 特 
定 的 内 部 用 户 执行 程序 ， 而 非 本 地 系统 上 存在 的 用 户 。 








每 个 容 右 内 部 都 可 以 有 root 帐 写 ， 但 跟 答 主 主机 不 在 一 个 命名 空 
间 。 

通过 使 用 隔离 的 用 户 命名 空间 可 以 提高 安全 性 ， 避 免 容器 内 进程 获 
取 到 额外 的 权限 。 


17.3 控制 组 


控制 组 (CGroups) 是 Linux 内 核 的 一 个 特性 ， 
进行 隔离 、 限 制 、 审 计 等 。 只 有 能 控制 分 配 到 容器 的 资源 ， 才 能 避免 多 
个 容器 同时 运 去 行 时 对 宿主 机 系统 的 资源 竞争 。 


控制 组 技术 最 早 是 由 Google 的 程序 员 2006 年 起 提出 ，Linux 内 核 自 
2.6.24 开 始 原生 文 持 。 控 制 组 可 以 提供 对 容 吉 的 内 存 、CPU、 磁 盘 IO 等 
资源 进行 限制 和 计 费 管理 。 控 制 组 的 设计 目标 是 为 不 同 的 应 用 情况 提供 
统一 的 接口 ， 从 控制 单一 进程 〈 比 如 nice 工 具 ) 到 系统 级 虚拟 化 (包括 
OpenVZ、Linux-VServer、LXC 等 ) 。 


具体 来 看 ， 控 制 组 提供 : 


资源 限制 (Resource limiting) : Pease avers AY Bee HY is 
存 限制 。 比 如 : 内 存 子 系统 可 以 为 进程 时 组 设 定 一 个 内 存 使 用 上 限 ， 一 旦 
进程 组 使 用 的 内 存 达 到 限额 再 申请 内 存 ， 就 会 出 发 Out of Memory 








:优先 级 (Prioritization) : 通过 优先 级 让 一 些 组 优先 得 到 更 多 的 
CPU 等 资源 。 


:资源 审计 (Accounting) : 用 来 统计 系统 实际 上 把 多 少 资源 用 到 适 
合 的 目的 上 ， 可 以 使 用 cpuacct 子 系统 记录 某 个 进程 组 使 用 的 CPU 时 间 。 


-隔离 Cisolation) : 为 组 隔离 命名 空间 ， 这 样 一 个 组 不 会 看 到 另 一 
个 组 的 进程 、 网 络 连接 和 文件 系 统 。 


.控制 (Control) : 挂 起 、 恢 复 和 重启 动 等 操作 。 


安装 Docker 后 ， 用 户 可 以 在 /sys/fs/cgroup/memory/docker/ 目 录 下 看 
到 对 Docker 组 应 用 的 各 种 限制 项 ， 包 括 : 











$ cd /sys/fs/cgroup/memory/docke 


Shag riots orcas ri ee Ta eer vegeta 
. kme! ory. 


bi an 
6cac 1e 322c paraiesbee eesdooe 949b2b5d86c6a 51b7457523b368f025fe57b2c 
ory. .max_usage_i in_bytes memory.max_usage_in_bytes 
emo i usage _in_bytes 
cgro up-c clo sige 
ory. kie slabinfo memory .move_charge_at_immigrate 


memory.use_hierarchy 
cgroup.event_control 
memory.kmem.tcp.failcnt memory .numa_stat 
notify_on_release 
cgroup.procs 
memory.kmem.tcp.limit_in_bytes memory.oom_control 
tasks 
memory. failcnt 
memory.kmem.tcp.max_usage_in_bytes memory.pressure_level 
memory. force_empty 


memory.kmem.tcp.usage_in_bytes memory.soft_limit_in_bytes 
memory .kmem. failcnt 
memory.kmem.usage_in_bytes memory.stat 





用 户 可 以 通过 修改 这 些 文 件 值 来 控制 组 限制 Docker 应 用 资源 。 例 
Se a cer 的 物理 内 存 总 量 不 
AIS 100MB: 





$ sudo echo 104857600 >/sys/fs/cgroup/memory/docker/memory.limit_in_bytes 





HEAT IMA AE a SCOPE IE, BT A BRT A a RS 





$ cd 42352bb6c1dic5c411be8fa04e97842da87d14623495189c4d865dFc444d12ae/ 


$ 1s 

cgroup.clone_children memory.max_usage_in_bytes memory.stat 
cgroup.event_control memory.move_charge_at_immigrate memory.swappiness 
cgroup.procs memory.numa_stat memory .usage_in_bytes 
memory. failcnt memory.oom_control memory.use_hierarchy 
memory. force_empty memory.pressure_level notify_on_release 
memory.limit_in_bytes memory.soft_limit_in_bytes tasks 


$ cat memory.stat 

cache 110592 

rss 107286528 

rss_huge 16777216 
mapped_file 0 

writeback 0 

pgpgin 74766 

pgpgout 52634 

pgfault 115722 

pgmajfault 0 
inactive_anon 12288 
active_anon 107384832 
inactive_file 0 
active_file 0 

unevictable 0 
hierarchical_memory_limit 18446744073709551615 
total_cache 110592 
total_rss 107286528 
total_rss_huge 16777216 
total_mapped_file 0 
total_writeback 0 
total_pgpgin 74766 
total_pgpgout 52634 
total_pgfault 115722 
total_pgmajfault 0 
total_inactive_anon 12288 
total_active_anon 107384832 
total_inactive_file 0 
total_active_file 0 
total_unevictable 0 











FETT Rae LAIN, CECE Ee HEA aie TASB, RIN AY DA 
从 这 里 得 到 更 多 的 信息 。 


y we 
YE 


可 以 在 创建 或 启动 容器 时 为 每 个 容器 指定 资源 的 限制 ， 例 如 使 用 - 
c|--cpu-shares[=0] 参 数 来 调整 容器 使 用 CPU 的 权重 ; 使 用 -ml-- 
memory[=MEMORY] 参 数 来 调整 容器 使 用 内 存 的 大 小 。 





17.4 ”联合 文件 系统 


联合 文件 系统 (UnionFS) 是 一 种 轻 量 级 的 高 性 能 分 层 文 件 系统 ， 
它 文 持 将 文件 系统 中 的 修改 信息 作为 一 次 提交 ， 并 层 层 合 加， 同时 可 以 
将 不 同 目 录 挂 载 到 同一 个 虚拟 文件 系统 下 ， 应 用 看 到 的 是 挂 载 的 最 终结 
A o 


联合 文件 系统 是 实现 Docker 镜 像 的 技术 基础 。Docker 镜 像 可 以 通过 
分 层 来 进行 继承 。 例 如 ， 用 户 基 于 基础 镜像 (用 来 生成 其 他 镜像 的 基 
础 ， 往 往 没 有 父 镜像 〉 来 制作 各 种 不 同 的 应 用 镜像 。 这 些 镜像 共享 同一 
个 基础 镜像 层 ， 提 高 了 存储 效率 。 此 外 ， 当 用 户 改 变 了 一 个 Docker 镜 像 
《比如 升级 程序 到 新 的 版 本 ) ， 则 会 创建 一 个 新 的 层 〈layer) 。 因 此 ， 
用 户 不 用 蔡 换 整个 原 镜像 或 者 重新 建立 ， 只 需要 添加 新 层 即 可 。 用 户 分 
发 镜像 的 时 候 ， 也 只 需要 分 发 被 改动 的 新 层 内 容 〈 增 量 部 分 ) 。 这 让 
Docker 的 镜像 管理 变 得 十 分 轻 量 级 和 快速 。 


1.Docker 存 储 


Docker 目 前 通过 插件 化 方式 文 持 多 种 文件 系统 后 端 。Debian/Ubuntu 
上 成 熟 的 AUFS (Another Union File System， 或 v2 版 本 往 后 的 Advanced 
Multilayered Unification File System) ， 束 是 一 种 联合 文件 系统 实现 ， 如 
图 17-3 所 示 。AUFS 文 持 为 每 一 个 成 员 目 录 《类 似 Git 的 分 文 ) 设 定 只 读 
(readonly) 、 读 写 (readwrite) 或 写 出 〈whiteout-able) 权限 ， 同 时 
AUFS 里 有 一 个 类 似 分 层 的 概念 ， 对 只 读 权 限 的 分 支 可 以 在 逻辑 上 进行 
增 量 地 修改 不 影响 只 读 部 分 的 〉。 














图 17-3 AUEFS 文 件 系统 


Docker 镜 像 目 身 束 是 由 多 个 文件 层 组 成 ， 每 一 层 有 唯一 的 编号 〈 层 
ID) 。 


可 以 通过 docker history 查 看 一 个 镜像 由 哪些 层 组 成 。 例 如 查看 
ubuntu: 14.04 镜 像 由 4 层 组 成 ， 每 层 执 行 了 不 同 的 命令 : 




















$ docker history ubuntu:14.04 

IMAGE CREATED CREATED BY SIZE COMMENT 
2a274e3405ec 13 months ago /bin/sh -c #(nop) CMD ["/bin/bash"] 9 B 
df697c8bibf4 13 months ago /bin/sh -c sed -i 's/A#\s*\(deb.*universe\)$/ 1.895 kB 
371166fb96e0 13 months ago /bin/sh -c echo '#!/bin/sh' > /usr/sbin/polic 194.5 kB 
69191ca023af 13 months ago /bin/sh -c #(nop) ADD file:c8f078961a543cdefa 188.1 MB 





对 于 Docker 镜 像 来 说 ， 这 些 层 的 内 容 都 是 不 可 修改 的 、 只 读 的 。 而 
当 Docker 利 用 镜像 启动 一 个 容 姻 时 ， 将 在 镜像 文件 系统 的 最 顶端 再 挂 载 
一 个 新 的 可 读 写 的 层 给 容器 。 容 右 中 的 内 容 更 新 将 会 肥 生 在 可 读 写 层 。 
当 所 操作 对 象 位 于 较 深 的 某 层 时 ， 需 要 先 复 制 到 最 上 层 的 可 读 写 层 。 当 
数据 对 象 较 大 时 ， 人 往往 意味 着 IO 性 能 较 拳 。 因 此 ， 一 般 推 荐 将 容器 修改 
的 数据 通过 volume 方 式 挂 载 ， 而 不 是 直接 修改 镜像 内 数据 。 


此 外 ， 对 于 频繁 局 停 Docker 容 费 的 场景 下 ， 文 件 系 统 的 IO 性 能 也 将 
十 分 关键 。 


具体 看 ，Docker 所 有 的 存储 都 在 Docker 目 录 下 ， 以 Ubuntu 系 统 为 
例 ， 默 认 路 径 是 /varvlib/docker。 


在 这 个 目录 下 面 ， 存 储 由 Docker 镜 像 和 容器 运行 相关 的 文件 和 目 
录 ， 可 能 包括 aufs、containers、graph、image、init、linkgraph.db、 


network、repositories-aufs、swarm、tmp、trust、volumes 等 。 其 中 ， 最 


关键 的 就 是 aufs 目 录 ， 这 是 aufs 文 件 系 统 所 在 ， 保 存 Docker 镜 像 相关 数 
据 和 信息 。 该 目录 该 目录 包括 layers、diff 和 mnt 三 个 子 目录 。1.9 版 本 和 
之 前 的 版 本 中 ， 命 名 跟 镜 像 层 的 ID 是 匹配 的 ， 而 自 1.10 开 始 ， 层 数据 相 
关 的 文件 和 目录 名 与 层 ID 不 再 匹配 。 


layers 子 目录 包含 层 属性 文件 ， 用 来 保存 各 个 镜像 层 的 元 数据 : 某 
例如 : 某 镜 像 由 5 层 组 成 ， 则 文件 内 容 应 
该 如 下 : 
































# cat aufs/layers/78f4601eee00b1f 770b1aecf5b6433635b99caad5c11b8858dd6c8cec03b4584F -init 


d2a0ecffe6fa4ef3de9646a75cc629bbd9da7eead7Ff767cb810F9808d6b3ecbé6 
29460ac934423a55802fcad24856827050697b4a9F33550bd93c82762fb6db8f 

SINA le ati SCR E T D ee gen dep 
83e4dde6b9cfddf46b75a07ec8d65ad87a7 48b98c f27de7d5b3298c1Ff3455ae. 

# cat Are ying obo ote cone cace 40 5 E OBOE cai 70 irona 
29460ac934423a55802fcad24856827050697b4a9F33550bd93c82762fb6db8f 
b670fbOc7ecd3d2c401f bfdifa4d7a872fbada0a4b8c2516d0be18911c6b25d6 
83e4dde6b9cfddf46b75a07ec8d65ad87a748b98c f27de7d5b3298c1F3455ae4 





m diff 子 目录 包含 屋内 容 子 目录 ， 用 来 保存 所 有 镜像 层 的 内 容 数 据 。 
列 如 : 





# ls aufs/diff/78f4601eee00b1f770b1aecf5b6433635b99caad5c11b8858dd6c8cec03b4584Ff -init/ 
dev etc 








mnt 子 目录 册 BRE e Tae 终 的 挂 载 点 ， 所 有 相关 的 
AUFS 层 在 这 里 挂 载 到 一 起 ， 形 成 最 一 个 运行 中 容器 的 根 文件 
系统 就 挂 载 在 这 下 面 的 子 目 录 上 。 同样 ， 1.10 版 本 之 前 的 Docker 中 ， 子 
HRAMA IDE H. 其 中 ， 还 包括 容器 的 元 数据 、 配 置 文件 和 运 


行 日 志 JÒN 等 o 


2. 多 种 文件 系统 比较 

Docker 目 前 文 持 的 联合 文件 系统 种 类 包括 AUFS、 OverlayFS、 
btrfs、vfs、zfs 和 Device Mapper 等 。 各 种 文件 系统 目前 的 支持 情况 如 
F: 


"AUFS: 最 早 支持 的 文件 系统 ， 对 Debian/Ubuntu 支 持 好 ， 昌 然 没 有 
合并 到 Linux 内 核 中 ， 但 成 熟 度 很 高 ; 


‘OverlayFS: 类 似 于 AUFS， 人 性 能 更 好 一 些 ， 已 经 合并 到 内 核 ， 未 
来 会 取代 AUFS， 得 成 熟 度 有 待 提高 ， 


‘Device Mapper: Redhat 公 司 和 Docker 团 队 一 起 开发 用 于 支持 RHEL 
的 文件 系统 ， 内 核 文 持 ， 性 能 略 慢 ， 成 熟 度 高 ; 


'btrfs: 参考 zfs 等 特性 设计 的 文件 系统 ， 由 Linux 社 区 开发 ， 试 图 未 
来 取代 Device Mapper， 成 熟 度 有 竺 提高 ; 


vfs: 基于 普通 文件 系统 (ext、nfs 等 ) 的 中 间 层 抽象 ， 性 能 差 ， 比 
较 占 用 空间 ， 成 熟 度 也 一 般 。 


‘zfs: 最 初 设计 为 Solaris ”10 上 的 写 时 文件 系统 ， 拥 有 不 少 好 的 特 











性 ， 但 对 Linux 文 持 还 不 够 成 熟 。 


总 结 一 下 ，AUFS 和 Device Mapper 的 应 用 最 为 广泛 ， 支 持 也 
要 Ne = ` ’ 本 相对 成 
推荐 生产 环境 考虑 。 长 期 来 看 ，OverlayFS 将 可 能 具有 更 好 的 特 





17.5 Linux 网 络 虚 拟 化 


Docker 的 本 地 网 络 实现 其 实 束 是 利用 了 Linux 上 的 网 络 命 名 空间 和 
虚拟 网 络 设备 〈 特 别 是 veth pair) 。 熟 悉 这 两 部 分 的 基本 概念 ， 有 助 于 
理解 Docker 网 络 的 实现 过 程 。 


1. 基 本 原理 


直观 上 看 ， 要 实现 网 络 通信 ， 机 口 需要 至 少 一 个 网 络 接口 《物理 接 
口 或 虚拟 接口 ) 与 外 界 相 通 ， 并 可 以 收发 数据 包 ; 此 外 ， 如 果 不 同 子 网 
之 间 要 进行 通信 ， 需 要 额外 的 路 由 机 制 。 


Docker 中 的 网 络 接口 默认 都 是 虚拟 的 接口 。 虚 拟 接口 的 最 大 优势 就 
是 转发 效率 极 高 。 这 是 因为 Linux 通 过 在 内 核 中 进行 数据 复制 来 实现 虚 
拟 接 口 之 间 的 数据 转发 ， 即 发 送 接口 的 发 送 缓存 中 的 数据 包 将 被 直接 复 
制 到 接收 接口 的 接收 缓存 中 ， 而 无 需 通过 外 部 物理 网 络 设 备 进行 交换 。 
对 于 本 地 系统 和 容器 内 系统 来 看 ， 虚 拟 接口 跟 一 个 正常 的 以 太 网 卡 相 比 
并 无 区 别 ， 只 是 它 速 度 要 快 得 多 。 

Docker 容 器 网 络 就 很 好 地 利用 了 Linux 虚 拟 网 络 技术 ， 在 本 地 主机 
和 容器 内 分 别 创 建 一 个 虚拟 接口 ， 并 让 它们 彼此 连通 (这 样 的 一 对 接口 
叫做 veth pair) ， 如 图 17-4 所 示 。 











容器 A E At C 
172.1702 | | 1721703 172.1704 


NAT 物理 主机 
192.168.100.100 





图 17-4 Linux 虚 机 网 络 技术 
2. 网 络 创 建 过 程 
一 般 情 况 下 ，Docker 创 建 一 个 容器 的 时 候 ， 会 具体 执行 如 下 操作 : 


1) 创建 一 对 虚拟 接口 ， 分 别 放 到 本 地 主机 和 新 容 占 的 命名 空间 


2) 本 地 主机 一 端的 虚拟 接口 连接 到 默认 的 docker0 网 桥 或 指定 网 桥 
上 ， 并 具有 一 个 以 veth 开 头 的 唯一 名 字 ， 如 veth1234; 


3) 容器 一 端的 虚拟 接口 将 放 到 新 创建 的 容器 中 ， 并 修改 名 字 作 为 
eth0。 这 个 接口 只 在 容器 的 命名 空间 可 见 ; 


A) 从 网 桥 可 用 地 址 段 中 获取 一 个 空 闪 地 址 分 配给 容器 的 eth0〈 例 
如 172.17.0.2/16) ， 并 配置 默认 路 由 网 关 为 docker0 网 卡 的 内 部 接口 
docker0 的 IP 地 址 (例如 172.17.42.1/16) : 


完成 这 些 之 后 ， 容 器 就 可 以 使 用 它 所 能 看 到 的 eth0 虚 拟 网 卡 来 连接 
其 他 容器 和 访问 外 部 网 络 。 


用 户 也 可 以 通过 docker ” ”network 命令 来 手动 管理 网 络 ， 将 在 后 续 


21 章 介绍 。 





在 使 用 docker run 命 令 启 动容 器 的 时 候 ， 可 以 通过 --net 参 数 来 指定 容 
器 的 网 络 配置 。 


有 5 个 可 选 值 bridge、none、container、host 和 用 户 定义 的 网 络 : 
---net=bridge: 默认 值 ， 在 Docker 网 桥 docker0 上 为 容器 创建 新 的 网 
2 


= 


---net=none: 让 Docker 将 新 容器 放 到 隔离 的 网 络 栈 中 ， 但 是 不 进行 
网 络 配 置 。 之 后 ， 用 户 可 以 自行 进行 配置 。 


---net=container: NAME_or_ID: 让 Docker 将 新 建 容器 的 进程 放 到 
一 个 已 存在 容器 的 网 络 栈 中 ， 新 容 右 进程 有 卓 己 的 文件 系统 、 进 程 列表 
和 资源 限制 ， 但 会 和 已 存在 的 容器 共享 了 了 地 址 和 端口 等 网 络 资源 ， 两 者 


进程 可 以 直接 通过 lo 环 回 接口 通信 。 


---net=host: 告诉 Docker 不 要 将 容器 网 络 放 到 隔离 的 命名 空间 中 ， 
即 不 要 容 喜 化 容器 内 的 网 络 。 此 时 容 堪 使 用 本 地 主机 的 网 络 ， 它 拥有 完 
全 的 本 地 主机 接口 访问 权限 。 容 器 进程 可 以 跟 主 机 其 他 root 进 程 一 样 打 
开 低 范围 的 端口 ， 可 以 访问 本 地 网 络 服务 ， 比 如 D-bus， 还 可 以 让 容器 
做 一 些 影响 整个 主机 系统 的 事情 ， 比 如 重启 主机 。 因 此 使 用 这 个 选项 的 
时 候 要 非常 小 心 。 如 果 进 一 步 的 使 用 --privileged=true 参 数 ， 容 右 甚 至 会 
被 允许 直接 配置 主机 的 网 络 栈 。 


---net=user_defined_network: 用 户 自 行 用 network 相 关 命 令 创 建 一 个 
网 络 ， 通 过 这 种 方式 将 容器 连接 到 指定 的 已 创建 网 络 上 去 。 


3. 手 动 配置 网 络 

用 户 使 用 --net=none 后 ， Dockers T 对 容 喜 网 络 进行 配置 。 下 面 ， 
将 手动 完成 配置 网 络 的 整个 过 程 。 通 过 这 个 过 程 ， 可 以 了 解 到 Docker 配 
置 网 络 的 更 多 细节 。 


首先 ， 启 动 一 个 /bin/bash 容 器 ， 指 定 --net=none 参 数 : 











$ docker run -i -t --rm --net=none base /bin/bash 
root@63f36fcO1b5f : /# 





在 本 地 主机 查找 容器 的 进程 id， 并 为 它 创 建 网 络 命名 空间 : 





cker inspect -f '{{.State.Pid}}' 63f36fcO1b5f 


ir -p /var/run/netns 
ln -s /proc/$pid/ns/net /var/run/netns/$pid 





for BS re PE EP I PM FA SO 





$ ip addr show dockero 
21: dockerg: 
et 172.17.42.1/16 scope global dockerg 





创建 一 对 “veth pair” 接口 A 和 B， 绑 定 A 接 口 到 网 桥 docker0， 并 局 用 
Č: 





$ sudo ip link add A type veth peer name B 
$ sudo brctl addif dockerO A 
$ sudo ip link set A up 





KBR OMEARME, MA AethO, ANEMA 
个 可 用 IP 桥接 网 段 ， 和 默认 网 关 : 





$ sudo ip link set B netns $pid 

$ sudo ip netns exec $pid ip link set dev B name ethO 

$ sudo ip netns exec $pid ip link set ethO u 

$ sudo ip netns exec $pid ip addr add 172.17.42.99/16 dev etho 
$ sudo ip netns exec $pid ip route add default via 172.17.42.1 





DE, tzDockerfit 2 AE 


当 容 器 终止 后 ，Docker 会 清空 容器 ， 容 器 内 的 网 络 接口 会 随 网 络 命 
名 空间 一 起 被 清除 ，A 接 口 也 会 自动 从 docker0 邑 载 并 清除 。 


此 外 ， 在 删除 /var/run/netns/ 下 的 内 容 之 前 ， 用 户 可 以 使 用 ip netns 
exec 命 令 在 指定 网 络 命名 空间 中 进行 配置 ， 从 而 更 新 容器 内 的 网 络 配 
置 。 


17.6 本章 小 结 


本 章 具 体 谢 析 了 Docker 实 现 的 一 些 核心 技术 ， 包 括 它 的 基本 架构 ， 
以 及 所 依赖 的 Linux 操 作 系 统 中 的 命名 空间 、 控 制 组 、 联 合 文件 系统 、 
虚拟 网 络 支持 等 。 大 部 分 都 是 Linux 操 作 系 统 上 已 有 的 技术 。 


从 本 章 中 读者 可 以 看 到 ，Docker 的 优秀 特性 跟 Linux 操 作 系 统 的 强 
大 、 特 别 是 Linux 上 成 熟 的 容 右 技术 支持 是 分 不 开 的 。 在 实际 使 用 
Docker 容 器 的 过 程 中 ， 还 将 涉及 如 何 调整 系统 配置 来 优化 容器 性 能 ， 这 
些 都 需要 有 丰富 的 Linux 系 统 运 维 知识 和 实践 经 验 。 


通过 runc 等 更 通用 的 容器 运行 时 技术 标准 ，Docker 已 经 可 以 移植 到 
Linux 之 外 的 多 种 平台 上 ， 这 将 使 得 它 的 应 用 范围 更 为 广泛 。 


此 外 ， 通 过 插件 化 的 网 络 机 制 ， Ri 
络 虚 拟 化 功能 ， 这 将 在 后 续 章 节 介 绍 


第 18 章 ”配置 私有 仓库 


在 使 用 Docker 一 段 时 间 后 ， 往 往 会 发 现 手 头 积累 了 大量 的 目 定 义 镜 
像 文 件 ， 这 些 文件 通过 公有 仓库 进行 管理 并 不 方便 ， 男 外 有 时 候 只 是 希 
望 在 内 部 用 户 之 间 进 行 分 享 ， 不 希望 暴露 出 去 。 这 种 情况 下 ， 就 有 必要 
搭建 一 个 本 地 私有 镜像 仓库 。 

在 第 一 部 分 中 ， 笔 者 曾 介 绍 快速 使 用 registry 镜 像 搭 建 一 个 私有 仓库 


的 方法 。 本 章 笔 者 将 具体 讲解 registry 的 使 用 技巧 ， 并 通过 具体 案例 来 展 
示 如 何 搭建 一 个 功能 完善 的 私有 镜像 仓库 。 


在 搭建 完成 本 地 的 私有 仓库 服务 后 ， 接 下 来 会 剖析 registry 的 配置 参 
数 ， 最 后 介绍 通过 编写 脚本 来 实现 对 镜像 的 快速 批量 化 管理 。 




















18.1 安装 Docker Registry 


Docker ”Registry 工具 目前 最 新 为 2.0 系 列 版 本 ， 这 一 版 本 与 一 些 类 
库 、 工 具 一 起 被 打包 为 负责 容器 内 容 分 发 的 工具 集 : Docker 
Distribution。 目 前 其 核心 的 功能 组 件 仍 为 负责 镜像 仓库 的 管理 。 


新 版 本 的 Registry 基 于 Golang 进 行 了 重 构 ， 提 供 更 好 的 性 能 和 扩展 
性 ， 并 且 支 持 Docker 1.6+ 的 API， 非 常 适合 用 来 构建 私有 的 镜像 注册 服 
务 器 。 官 方 仓库 中 也 提供 了 Registry 的 镜像 ， 因 此 用 户 可 以 通过 容器 运 
行 和 源码 安装 两 种 方式 来 使 用 Registry。 


1. 基 于 容器 安装 运行 


基于 容器 的 运行 方式 十 分 简单 ， 只 需要 一 条 命令 : 

















$ docker run -d -p 5000:5000 --restart=always --name registry registry:2.1 





局 动 后 比较 关键 的 参数 是 指定 配置 文件 和 仓库 存储 路 径 


Re gistry BRU 的 配置 文件 为 /etc/docker/registry/config.yml， 因 此 ， 通 
过 如 下 命令 ， 可 以 指定 使 用 本 地 主机 上 的 配置 文件 
(U1/home/user/registry-conf ) 。 








$ docker run ae se gua \ 
--re \ 


--name re PRN F 
-v /home/user/registry-conf/config.yml:/etc/docker/registry/config.yml \ 
s 





此 外 ，Registry 默 认 的 存储 位 置 为 varvlib/registry， 可 以 通过 -v 参 数 
来 映射 本 地 的 路 径 到 容器 内 。 


例如 下 面 的 例子 将 镜像 存储 到 本 地 /opt/data/registry 目 录 。 





$ docke -d -p 5000:5000 --restart=always --name registry \ 
V Jo opt da ata/registry:/va Jii b/registry \ 
registr y:2 








2. 本 地 安装 运行 


有 时 候 需 要 本 地 运行 仓库 服务 ， 可 以 通过 源码 方式 进行 安装 。 
首先 安装 Golang 环 境 文 持 ， 以 Ubuntu 为 例 ， 可 以 执行 如 下 命令 





$ sudo add-apt-repository ppa:ubuntu-1lxc/lxd-stable 
$ sudo apt-get update 
$ sudo apt-get install golang 





确认 Golang 环 境 安装 成 功 ， 并 配置 4GOPATH 环 境 变量 ， 例 如 /go。 
创建 $4GOPATH/src/github.com/docker/ 目 录 ， 并 获取 源码 ， 如 下 所 


ZN: 





$ mkdir -p $GOPATH/src/github.com/docker/ 

$ cd $GOPATH/src/github.com/docker/ 

$ git clone https://github.com/docker/distribution.git 
$ cd distribution 





将 自 带 的 模板 配置 文件 复制 到 /etc/docker/registry/ 路 径 下 ， 创 建 存储 
目录 /var/lib/registry: 





$ cp cmd/registry/config-dev.yml /etc/docker/registry/config.yml 
$ mkdir -p /var/lib/registry 





然后 执行 安装 操作 : 





$ make PREFIX=/go clean binaries 





编译 成 功 后 ， 可 以 通过 下 面 的 命令 来 启动: 





$ registry serve /etc/docker/registry/config.yml 





此 时 使 用 访问 本 地 的 5000 端 口 ， 看 到 返回 成 功 (200 OK ) ， 则 说 明 
运行 成 功 : 





$ curl -i 127.0.0.1:5000/v2/ 

HTTP/1.1 200 OK 

Content-Length: 2 

Content-Type: application/json; charset=utf-8 
Docker -Distribution-Api-Version: registry/2.0 
X-Content-Type-Options: nosniff 

Date: Wed, 31 Sep 2016 06:36:10 GMT 





18.2 ”配置 TLS 证 书 

当 本 地 主机 运行 Registry 服 务 后 ， 所 有 能 访问 到 该 主机 的 Docker 
Host 都 可 以 把 它 作为 私有 仓库 使 用 。 只 需要 在 镜像 名 称 前 面 添加 上 具体 
的 服务 器 地 址 。 


例如 将 本 地 的 ubuntu: latest 镜 像 上 传 到 私有 仓库 myrepo.com: 








$ docker tag ubuntu myrepo.com:5000/ubuntu 
$ docker push myrepo.com:5000/ubuntu 





或 者 从 私有 仓库 myrepo.com 下 载 镜像 到 本 地 : 





$ docker pull myrepo.com:5000/ubuntu 
$ dock tag myrepo.com:5000/ubuntu ubuntu 








私有 仓库 需要 局 用 TLS 认 证 ， 人 否则 会 报错 。 在 第 一 部 分 中 ， 我 们 介 
绍 了 通过 添加 DOCKER_OPTS="--insecure-registry myrepo.com: 5000% 
避免 这 个 问题 。 在 这 里 将 介绍 如 何 获 取 和 生成 TLS 证 书 。 

1. 自 行 生 成 证 书 

使 用 openssl 工 具 可 以 很 容易 地 生成 私人 证 书 文件 : 








$ mkdir -p certs 
$0 ewkey rsa:4096 -nodes -sha256 -keyout certs/myrepo.key -x509 


penssl req -n 
-days 365 -out certs/myrepo.crt 








生成 过 程 中 会 提示 填 入 各 种 信息 ， 注 意 CN 一 栏 的 信息 要 填 入 跟 访 
问 的 地 址 相同 的 域名 ， 例 如 这 里 应 该 为 myrepo.com。 


生成 结果 为 秘 钥 文件 myrepo.key， 以 及 证 书 文 件 myrepo.crt。 


其 中 证 书 文 件 需要 发 送 给 用 户 ， 并 且 配 置 到 用 户 Docker Host 上 ， 注 
意 路 径 需 要 跟 域 名 一 致 ， 例 如 : 











/etc/docker/certs.d/myrepo.com:5000/ca.crt 





2. 从 代理 商 申请 证 书 
如 果 Registry 服 务 需要 对 外 公开 ， 需 要 申请 大 家 都 认可 的 证 书 。 


知名 的 代理 商 包 括 SSLs.com、GoDaddy.com、LetsEncrypt.org、 
GlobalSign.com 等 ， 用 户 可 以 自行 选择 权威 的 证 书 提 供 商 。 


3. 启 用 证 书 
当 拥 有 秘 钥 文 件 和 证 书 文 件 后 ， 可 以 配置 Registry 启 用 证 书 支 持 ， 


主要 通过 REGISTRY HTTP_TLS _CERTIFICATE 和 
REGISTRY HTTP TLS_KEY 人 参数 来 设置 ， 





docker run -d -p 5000:5000 --restart=always --name registry \ 
-v `pwd`/certs:/certs \ 
-e REGISTRY_HTTP_TLS_CERTIFICATE=/certs/myrepo.crt \ 
-e REGISTRY_HTTP_TLS_KEY=/certs/myrepo.key \ 
registry:2 





18.3 管理 访问 权限 


通常 在 生产 场景 中 ， 对 私有 仓库 还 需要 进行 访问 代理 ， 以 及 提供 认 
证 和 用 户 管 理 。 











1.Docker Registry v2 的 认证 模式 


Docker Registry v2 的 认证 模式 和 v1 有 了 较 大 的 变化 ， 降 低 了 系统 的 
复杂 度 、 减 少 了 服务 之 间 的 交互 次 数 ， 其 基本 工作 模式 如 图 18-1 所 示 。 





Authorization 


Registry v2 ome 


Docker Daemon 
API Client 





图 18-1 Registry v2 的 认证 模式 
具体 交互 过 程 包括 如 下 步骤 : 


1) Docker Daemon 或 者 其 他 客户 端 尝 试 访问 Registry 服 务 器 ， 比 如 
pull、push 或 者 访问 manifiest 文 件 ; 


2) 在 Registry 服 务 器 开局 了 认证 服务 模式 时 ， 束 会 直接 返回 401 
Unauthorized 错 误 ， 并 通知 调用 方 如 何 获得 授权 ; 





3) AFA Adz Fe BK, [a] Authorization Service 发 送 请 求 ， 并 携带 
Authorization Service 需 要 的 信息 ， 比 如 用 户 名 、 密 码 ; 


4) 如 果 授 权 成 功 ， 则 可 以 拿 到 合法 的 Bearer token， 来 标识 该 请 求 
方 可 以 获得 的 权限 ; 


5) 请 求 方 将 拿 到 Bearer token 加 到 请 求 的 Authorization header 中 ， 再 
次 尝试 步 又 1 中 的 请 求 ; 


6) Registry 服 务 通过 验证 Bearer token 以 及 JWT 格 式 的 授权 数据 ， 来 
决定 用 户 是 否 有 权限 进行 请 求 的 操作 。 


当局 用 认证 服务 时 ， 需 要 注意 以 下 两 个 地 方 : 


.对 于 Authentication Service，Docker 官 方 目前 并 没有 放出 对 应 的 实 
现 方案 ， 需 要 自行 实现 对 应 的 服务 接口 ; 




















-Registry 服 务 和 Authentication 服 务 之 间 通 过 证 书 进 行 Bearer token 的 
生成 和 认证 ， 所 以 要 保证 两 个 服务 之 间 证 书 的 匹配 。 


除了 使 用 第 三 方 实现 的 认证 服务 (如 docker_auth、SUSE Portus 等 ) 
外 ， 还 可 以 通过 Nginx 代 理 方式 来 配置 基于 用 户 名 密码 的 认证 。 

2. 配 置 Nginx 代 理 

使 用 Nginx 来 代理 Registry 服 务 的 原理 十 分 简单 ， 在 上 一 节 中 ， 我 们 
让 Registry 服 务 监 听 在 127.0.0.1: 5000， 这 意味 着 只 允许 本 机 才能 通过 
5000 端 口 访问 到 ， 其 他 主机 是 无 法 访问 到 的 。 

为 了 让 其 他 主机 访问 到 ， 可 以 通过 Nginx 监 听 在 对 外 地 址 的 15000 端 
口 ， 当 外 部 访问 请 求 到 达 15000 端 口 时 ， 内 部 再 将 请 求 转发 到 本 地 的 
5000 端 口 。 


首先 ， 安 装 Nginx: 











$ sudo apt-get -y install nginx 





在 /etc/nginx/sites-available/ 目 录 下 ， 创 建新 的 站 点 配置 文 


件 /etcnginx/sites-available/docker-registry.conf， 代 理 本 地 的 15000 端 口 转 
发 到 5000 端 口 。 


配置 文件 内 容 如 下 : 





# 本 地 的 registry 服 务 监听 在 15009 端 口 
upstream docker-registry { 
server localhost :5000; 


} 
# 代理 服务 器 监听 在 15000 端 口 
server { 
listen 15000; 
server_name private-registry-server.com; 
add_header 'Docker-Distribution-Api-Version' 'registry/2.0' always; 
# If you have SSL certification files, then can enable this section. 
ssl on; 
ssl_certificate /etc/ssl/certs/myrepo.crt; 
ssl_certificate_key /etc/ssl/private/myrepo. key; 


proxy_pass http://docker-registry; 

proxy_set_header Host \$http_host; # required for docker 
client's sake 

proxy_set_header X-Real-IP \$remote_addr; # pass on real client's IP 


proxy_set_header X-Forwarded-For \$proxy_add_x_forwarded_for; 

proxy_set_header X-Forwarded-Proto \$scheme; 

proxy_read_timeout 600; 

client_max_body_size 0; # disable any limits to avoid HTTP 413 for large 
image uploads 

# required to avoid HTTP 411: see Issue #1486 (https://github.com/dotcloud/ 
docker/issues/1486) 

chunked_transfer_encoding on; 

location /v2/ { 
# 禁止 旧版 本 Docker 访 问 
if (\$http_user_agent ~ "A(docker\/1\.(3|4|5(?!\.[0-9]-dev))|Go ).*\$" ) { 

return 404; 


} 
# 配置 转发 访问 请 求 到 registry 服 务 
proxy_pass http://docker-registry; 





建立 配置 文件 软 连接 ， 放 到 /etc/nginx/sites-enabled/ 下 面 ， 让 Nginx 
启用 它 ， 最 后 重启 Nginx 服 务 : 








$ sudo ln -s /etc/nginx/sites-available/docker-registry.conf /etc/nginx/sites- 
enabled/docker -registry.conf 
$ service nginx restart 





之 后 ， 可 以 通过 上 传 镜像 来 测试 服务 是 否 正 常 。 测 试 上 传 本 地 的 
ubuntu: latest 镜 像 : 





$ docker tag ubuntu:14.04 127.0.0.1:15000/ubuntu: latest 
$ docker push 127.0.0.1:15000/ubuntu: latest 





3. 添 加 用 户 认证 


公共 仓库 Docker Hub 是 通过 注册 索引 Cindex) 服务 来 实现 的 。 由 于 
Index 服 务 并 没有 完善 的 开源 实现 ， 在 这 里 介绍 基于 Nginx 代 理 的 用 户 访 
问 管理 方案 。 


Nginx 支 持 基 于 用 户 名 和 密码 的 访问 管理 
首先 ， 在 配置 文件 的 location/ 字 段 中 添加 两 行 : 





locati on / 
# let Nginx know about our auth file 
uth_basic " a nput usernam me/pas ssword" 
sith basic_user_file docker-registry- htpas sswd; 
proxy_pass http: //docker-registr yr 





其 中 ，auth_basic 行 说 明 启 用 认证 服务 ， 不 通过 的 请 求 将 无 法 转 
发 。auth_basic_user file 行 则 指定 了 验证 的 用 户 名 密码 存储 文件 为 本 地 
(/etc/nginx/ F ) 的 docker-registry-htpasswd 文 件 。 


docker-registry-htpasswd 文 件 中 存储 用 户 名 密码 的 格式 为 每 行 放 一 个 
用 户 名 、 密 码 对 。 例 如 : 





user1:password1 
user2:password2 








要 注意 的 是 ， 蜜 码 字段 存储 的 并 不 是 明文 ， 而 是 使 用 crypt 函 数 加 
全 过 sive a 


要 生成 加 密 后 的 字符 串 ， 可 以 使 用 htpasswd 工 具 ， 首 先 安装 


apache2-utils: 








$ sudo aptitude install apache2-utils -y 





创建 用 户 user1， 并 添加 密码 


例如 ， 如 下 的 操作 会 创建 /etc/nginx/docker-registry-htpasswd 文 件 来 
保存 用 户 名 和 加 密 后 的 密码 信息 ， 并 创建 user1 和 对 应 的 密码 ; 





$ sudo htpasswd -c /etc/nginx/docker-registry-htpasswd user1 
$ New password: 

$ Re-type new password: 

$ Adding password for user user1 





添加 更 多 用 户 ， 可 以 重复 上 面 的 命令 密码 文件 存在 后 ， 不 需要 再 


使 用 -c 选 项 来 新 创建 ) 。 
最 后 ， 重 新 启动 Nginx 服 务 : 





$ sudo service nginx restart 





此 时 ， 通 过 浏览 器 访问 本 地 的 服务 http:/127.0.0.1: 15000/v2/, 9% 
出 对 话 框 ， 提 示 需 要 输入 用 户 名 和 密码 。 

通过 命令 行 访 问 ， 需 要 在 地 址 前 面 带 上 用 户 名 和 密码 才能 正常 返 
回 : 








$ curl USERNAME:PASSWORD@127.0.0.1:15000/v2/ 





除了 使 用 Nginx 作 为 反 向 代理 外 ， pe E ae 
户 名 和 密码 的 认证 和 基于 token 的 认证 ， 可 以 通过 如 下 环境 变量 来 指 
定 : 





REGISTRY_AUTH: htpasswd 
REGISTRY_AUTH_HTPASSWD_PATH: /auth/htpasswd 
REGISTRY_AUTH_HTPASSWD_REALM: basic 





4. 用 Compose 司 动 Registry 


一 般 情 况 下 ， 用 户 使 用 Registry 需 要 的 配置 包括 存储 路 径 、TLS 证 书 
和 用 户 认 证 。 这 里 提供 一 个 基于 Docker Compose 的 快速 启动 Registry 的 
模板 : 





registry: 

restart: always 

image: registry:2.1 

ports: 
- 5000:5000 

environment: 
REGISTRY_HTTP_TLS_CERTIFICATE: /certs/myrepo.crt 
REGISTRY_HTTP_TLS_| E SPY pos key 
REGISTRY_AUTH: htpass 
REGISTRY_AUTH_| Wet Sade PATH: /auth/docker-registry-htpasswd 
REGISTRY_AUTH_HTPASSWD_REALM: basic 

volumes: 
- /path/to/data: < var ca aka 
- /path/to/certs:/cert 
- /path/to/auth:/auth 
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18.4 配置 Registry 


Docker Registry 提 供 了 一 些 样 例 配置 ， 用 户 可 以 直接 使 用 它们 来 进 
行 开 发 或 生产 部 署 。 


笔者 将 以 下 面 的 示例 配置 来 介绍 如 何 使 用 配置 文件 来 管理 私有 仓 





库 。 
18.4.1 示例 配置 
代码 如 下 : 





version: 0.1 


log: 
level: debug 
fields: 
service: registry 
environment: development 
hooks: 
- type: mail 
disabled: true 
levels: 
- panic 
options: 
smtp: 
addr: mail.example.com:25 
username: mailuser 
password: password 
insecure: true 
from: sender@example.com 
to: 
- errors@example.com 
storage: 
delete: 
enabled: true 
cache: 
blobdescriptor: redis 
filesystem: 
rootdirectory: /var/lib/registry 
maintenance: 
uploadpurging: 
enabled: false 
http: 
addr: :5000 
debug: 
addr: localhost :5001 
headers: 
X-Content-Type-Options: [nosniff] 
redis: 
addr: localhost :6379 
pool: 
maxidle: 16 
Maxactive: 64 
idletimeout: 300s 
dialtimeout: 10ms 
readtimeout: 10ms 
writetimeout: 10ms 
notifications: 


endpoints: 

- name: local-5003 
url: http://localhost :5003/callback 
headers: 

Authorization: [Bearer <an example token>] 

timeout: 1s 
threshold: 10 
backoff: 1s 
disabled: true 

- name: local-8083 
url: http://localhost :8083/callback 
timeout: 1s 
threshold: 10 
backoff: 1s 
disabled: true 


health : 
storagedriver: 
enabled: true 
interval: 10s 
threshold: 3 





18.4.2 ”选项 


这 些 选 项 以 yaml 文 件 格式 提供 ， 用 户 可 以 直接 进行 修改 ， 也 可 以 添 
加 目 定义 的 模板 段 。 


默认 情况 下 ， 变 量 可 以 从 环境 变量 中 读 取 ， 例 如 log.level: debug 可 
以 配置 为 : 











export LOG_LEVEL=debug 





比较 重要 的 选项 包括 版 本 信息 、log 选 项 、hooks 选 项 、 存 储 选 项 、 
认证 选项 、HTTP 选 项 、 通 知 选 项 、redis 选 项 、 健 康 监控 选项 、 代 理 选 
项 和 验证 选项 等 。 下 面 分 别 介绍 这 些 选 项 。 


1. 版 本 信息 





version: 0.1 





2.log 选 项 
日 志 相 关 : 





log: 
level: debug 
formatter: text 
fields: 
service: registry 
environment: staging 





参数 说 明 : 


‘level: 字符 串 类 型 ， 标 注 输 出 调试 信息 的 级 别 ， 包 括 debug、 
info. warn, error. 


‘fomatter: 字符 串 类 型 ， 日志 输 出 的 格式 ， 包 括 text、json、logstash 


等 。 


‘fields: 增加 到 日 志 输 出 消息 中 的 键 值 对 ， 可 以 用 于 过 滤 日 志 。 
3.hooks 选 项 


配置 当 仓 库 发 生 寞 常 时 ， 通 过 邮件 发 送 日 志 时 的 参数 : 





hooks: 
- type: mail 
levels: 
- panic 
options: 
smtp: 
addr: smtp.sendhost.com:25 
username: sendername 
password: password 
insecure: true 
from: name@sendhost.com 
to: 
- name@receivehost.com 





4. 人 存储 选项 


storage 选 项 将 配置 存储 的 引擎 ， 默 认 文 持 包括 本 地 文件 系统 、 
Google 云 存储 、AWS S3 云 存储 和 OpenStack Swift 分 布 式 存储 等 ， 如 下 
所 示 : 





storage: 
filesystem: 
rootdirectory: /var/lib/registry 
azure: 
accountname: accountname 
accountkey: base64encodedaccountkey 
container: containername 
gcs: 
bucket: bucketname 
keyfile: /path/to/keyfile 
rootdirectory: /gcs/object/name/prefix 
s3: 
accesskey: awsaccesskey 
secretkey: awssecretkey 
region: us-west-1 
regionendpoint: http://myobjects.local 
bucket: bucketname 
encrypt: true 
keyid: mykeyid 
secure: true 
v4auth: true 
chunksize: 5242880 
multipartcopychunksize: 33554432 
multipartcopymaxconcurrency: 100 
multipartcopythresholdsize: 33554432 
rootdirectory: /s3/object/name/prefix 
swift: 
username: username 
password: password 
authurl: https://storage.myprovider.com/auth/v1.0 or https://storage. 
myprovider.com/v2.0 or https://storage.myprovider.com/v3/auth 
tenant: tenantname 
tenantid: tenantid 
domain: domain name for Openstack Identity v3 API 
domainid: domain id for Openstack Identity v3 API 
insecureskipverify: true 
region: fr 
container: containername 
rootdirectory: /swift/object/name/prefix 
oss: 
accesskeyid: accesskeyid 
accesskeysecret: accesskeysecret 
region: OSS region name 
endpoint: optional endpoints 
internal: optional internal endpoint 
bucket: OSS bucket 
encrypt: optional data encryption setting 


secure: optional ssl setting 
chunksize: optional size 
rootdirectory: optional root directory 
pine 
dele 
enabled: false 
cache 
blobdescriptor: inmemory 
maintenance: 
uploadpurging: 
enabled: true 
age: 168h 
interval: 24h 


dryrun: false 
redirect: 


disable: false 





比较 重要 的 选项 如 下 : 





‘maintenance: 配置 维护 相关 的 功能 ， 包 括 对 孤立 旧 文 件 的 清理 
开局 只 读 模 式 等 ; 


‘delete: 是 人 否 允 许 删除 镜像 功能 ， 默 认 关闭 ; 
‘cache: 开局 对 镜像 层 元 数据 的 缓存 功能 ， 默 认 开局 
5. 认 证 选项 


对 认证 类 型 的 配置 ， 如 下 所 示 : 





realm: silly-realm 
service: silly-service 
token: 
realm: token-realm 
service: token-service 
issuer: registry-token-issuer 
rootcertbundle: /root/certs/bundle 
htpasswd: 


alm: basic-realm 
path: /path/to/htpasswd 





比较 重要 的 选项 如 下 : 
silly: 仅 供 测试 使 用 ， 


RE 





请 求 头 帝 有 认证 域 即 可 ， 不 做 内 容 检 


token: 基于 token 的 用 户 认证 ， 适 用 于 生产 环境 ， 
服务 来 支持 ; 





要 额外 的 token 


htpasswd: 基于 Apache htpasswd 密 码 文 件 的 权限 检查 
6.HTTP 选 项 


跟 HTTP 服 务 相 关 的 配置 ， 如 下 所 示 : 





http: 
addr: localhost:5000 
net: tcp 
prefix: /my/nested/registry/ 
host: https://myregistryaddress.org:5000 
secret: asecretforlocaldevelopment 
relativeurls: false 
tls: 
certificate: /path/to/x509/public 
key: /path/to/x509/private 
clientcas: 
- /path/to/ca.pem 
- /path/to/another/ca.pem 
letsencrypt: 
cachefile: /path/to/cache-file 
email: emailused@letsencrypt.com 
debug: 
addr: localhost :5001 
headers: 
X-Content-Type-Options: [nosniff] 
http2: 
disabled: false 





其 中 的 参数 如 下 : 

“addr: 必 选 ， 服 务 监听 地 址 ; 

‘secret: 必 选 ， 跟 安全 相关 的 随机 字符 串 ， 用 户 可 以 自己 定义 ; 
tls: 证 书 相 关 的 文件 路 径 信息 ; 

-http2: 是 否 开 启 http2 支 持 ， 默 认 关 闭 。 

7. 通 知 选项 


有 事件 发 生 时 候 的 通知 系统 。 





notifications: 
endpoints: 
- name: alistener 
disabled: false 
url: https://my.listener.com/event 
headers: <http.Header> 
timeout: 500 
threshold: 5 
backoff: 1000 





8.redis 选 项 


Registry 可 以 用 Redis 来 缓存 文件 块 ， 这 里 可 以 配置 相关 选项 : 





redis: 
addr: localhost:6379 
password: asecret 


dialtimeout: 10ms 


readtimeout: 10ms 
writetimeout: 10ms 


maxidle: 16 
maxactive: 64 
idletimeout: 300s 





9. 健 康 监 控 选 项 


E a 
ZN: 





health: 
storagedriver: 
enabled: true 
interval: 10s 
threshold: 3 
file: 
- file: /path/to/checked/file 
interval: 10s 
http: 
- uri: http://server.to.check/must/return/200 
headers: 
Authorization: [Basic QWxhZGRpbjpvcGVuIHN1c2FtZQ==] 
statuscode: 200 
timeout: 3s 
interval: 10s 
threshold: 3 
tcp: 
- addr: redis-server.domain.com:6379 
timeout: 3s 
interval: 10s 
threshold: 3 





默认 并 未 启用 。 
10. 代 理 选 项 


配置 Registry 作 为 一 个 pull 代 理 ， 从 远 端 (目前 仅 支 持 官方 仓库 ) 下 
拉 Docker 镜 像 ， 如 下 所 示 : 








proxy: 
remoteurl: https://registry-1.docker.io 
username: [username] 
password: [password] 





之 后 ， 用 户 可 以 通过 如 下 命令 来 配置 Docker 使 用 代理 : 





$ docker --registry-mirror=https://myrepo.com:5000 daemon 





11. 验 证 选项 


限定 来 自 指 定 地 址 的 客户 端 才 可 以 执行 push 操 作 : 








validation: 
enabled: true 
manifests: 
urls: 
allow: 
- Ahttps?://([A/]+\.)*example\.com/ 
deny: 
- Ahttps?://www\.example\.com/ 


二 一 


18.5 ”批量 管理 镜像 


在 之 前 章节 中 ， 笔 者 介绍 了 如 何 对 单个 镜像 进行 上 传 、 下 载 的 操 
作 。 有 了 时候， 本 地 镜像 很 多 ， 逐 个 打 标 记 进 行 操 作 将 十 分 浪费 时 间 。 这 
里 将 以 批量 上 传 镜像 为 例 ， 介 绍 如 何 利 用 脚本 实现 对 镜像 的 批量 化 处 
H 


1. 批 量 上 传 指定 镜像 


可 以 使 用 下 面 的 push_images.sh 脚 本 ， 批 量 上 传 本 地 的 镜像 到 注册 
服务 器 中 ， 默 认 是 本 地 注册 服务 器 127.0.0.1:5000， 用 户 可 以 通过 修改 
registry=127.0.0.1:5000 这 行 来 指定 目标 注册 服务 器 : 





#!/bin/sh 

# This script will upload the given local images to a registry server ($registry 
is the default value). 

# See: https://github.com/yeasy/docker_practice/blob/master/_local/push_images.sh 

# Usage: push_images image1 [image2...] 

# Author: yeasy@github 

# Create: 2014-09-23 

#The registry server address where you want push the images into 

registry=127.0.0.1:5000 

### DO NOT MODIFY THE FOLLOWING PART, UNLESS YOU KNOW WHAT IT MEANS ### 

echo_r () { 

$# -ne 1 ] && return 9 

echo -e "\033[31m$1\033[0m" 


echo_g () { 
$# -ne 1 ] && return 0 
echo -e "\033[32m$1\033[0m" 


} 

echo_y () { 
$# -ne 1 ] && return 0 
echo -e "\033[33m$1\033[0m" 


echo_b 








() { 
$# -ne 1 ] && return 9 
echo -e "\033[34m$1\033[0m" 


} 
usage() { 
docker images 
echo "Usage: $0 registry1:tag1 [registry2:tag2...]" 


} 

[ $# -lt 1 ] && usage && exit 

echo_b "The registry server is $registry" 
for image in "$@" 

do 


echo_b "Uploading $image..." 
docker tag $image $registry/$image 
docker push $registry/$image 
docker rmi $registry/$image 
echo_g "Done" 

done 








建议 把 脚本 存放 到 本 地 的 可 执行 路 径 下 ， 例 如 /usr/local/bin/ 下 面 。 
然后 添加 可 执行 权限 ， 就 可 以 使 用 该 脚本 了 : 








$ sudo chmod a+x /usr/local/bin/push_images.sh 





例如 ， 推 送 本 地 的 ubuntu: latest 和 centos: centos7 两 个 镜像 到 本 地 
仓库 : 





$ ./push_images.sh ubuntu:latest centos:centos7 

The registry server is 127.0.0.1 

Uploading ubuntu:latest... 

The push refers to a repository [127.0.0.1:5000/ubuntu] (len: 1) 

Sending image list 

Pushing repository 127.0.0.1:5000/ubuntu (1 tags) 

Image 511136ea3c5a already pushed, skipping 

Image bfb8b5a2ad34 already pushed, skipping 

Image cif3bdbd8355 already pushed, skipping 

Image 897578f527ae already pushed, skipping 

Image 9387bcc9826e already pushed, skipping 

Image 809ed259f845 already pushed, skipping 

Image 96864a7d2df3 already pushed, skipping 

Pushing tag for rev [96864a7d2df3] on {http://127.0.0.1:5000/v1/repositories/ 
ubuntu/tags/latest} 

Untagged: 127.0.0.1:5000/ubuntu: latest 

Done 

Uploading centos:centos7... 

The push refers to a repository [127.0.0.1:5000/centos] (len: 1) 

Sending image list 

Pushing repository 127.0.0.1:5000/centos (1 tags) 

Image 511136ea3c5a already pushed, skipping 

34e94e67e63a: Image successfully pushed 

70214e5d0a90: Image successfully pushed 

Pushing tag for rev [70214e5d0a90] on {http://127.0.0.1:5000/v1/repositories/ 
centos/tags/centos7} 

Untagged: 127.0.0.1:5000/centos:centos7 

Done 





本 查看 本 地 镜像 ， 会 发 现 上 传 中 创建 的 临时 标签 也 同时 被 清 
理 了 。 


2. 上 传 本 地 所 有 镜像 


在 push_images 工 具 的 基础 上 ， 还 可 以 进一步 的 创建 push_all 工 具 ， 
来 上 传 本 地 所 有 镜像 : 





#!/bin/sh 
# This script will upload all local images to a registry server ($registry is 
the default value). 
# This script requires the push_images, which can be found at https://github.com/ 
yeasy/docker_practice/blob/master/_local/push_images.sh 
# Usage: push_all 
# Author: yeasy@github 
# Create: 2014-09-23 
for image in “docker images|grep -v "REPOSITORY"|grep -v "<none>"|awk '{print $1":"$2}'> 
do 
push_images.sh $image 
done 





AP, 推荐 读者 把 它 放 在 /usr/local/bin/ 下 面 ， 并 添加 可 执行 权限 。 
这 样 就 可 以 通过 push_all 命 令 来 同步 本 地 所 有 镜像 到 本 地 私有 仓库 了 。 


同样 ， 读 者 可 以 试 着 修改 脚本 ， 实 现 批 量化 下 载 镜像 、 删 除 镜 像 、 
更 新 镜像 标签 等 更 多 的 操作 。 


18.6 ”使 用 通知 系统 


Docker Registry v2 还 内 置 提供 了 Notification 功 能 ， 提 供 了 非常 方 
便 、 快 捷 的 集成 接口 ， 避 免 了 v1 中 需要 用 户 自己 实现 的 抹 烦 。 


Notification 功 能 其 实 就 是 Registry 在 有 事件 发 生 的 时 候 ， 癌 用 户 自 
己 定义 的 地 址 发 送 webhook 通 知 。 目 前 的 事件 包括 镜像 manifest 的 push、 
pull， 镜 像 层 的 push、pull。 这 些 动作 会 被 序列 化 成 webhook 事 件 的 
payload， 为 集成 服务 提供 事件 详情 ， 并 通 HN Registry v2 的 内 置 广播 系统 
发 送 到 用 户 定 义 的 服务 接口 ，Registry V2 称 这 些 用 户 服务 接口 为 
Endpoints。 


Registry 服 务 器 的 事件 会 通过 HTTP 协 议 发 送 到 用 户 定 义 的 所 有 
Endpoints 上， 而 且 每 个 Registry 实 例 的 每 个 Endpoint 都 有 自己 独立 的 队 
列 ， 重 试 选 项 以 及 HTTP 的 目的 地 址 。 当 一 个 动作 发 生 时 ， 会 被 转换 成 
对 应 的 事件 并 放置 到 一 个 内 存 队 列 中 。 镜 像 服务 器 会 依次 处 理 队 列 中 的 
事件 ， 并 癌 用 户 定义 的 Endpoint 发 送 请 求 。 事 件 发 送 处 理 是 串 行 的 ， 但 
是 Registry 服 务 器 并 不 会 保证 其 到 达 顺 序 。 


18.6.1 相关 配置 
Notification 在 Docker Registry 中 的 相关 配置 如 下 : 








ints: 
- name: cd-handler 
disabled: false 
url: http://cd-service-host/api/vi/cd-service 





上 面 的 配置 会 在 pull 或 者 push 发 生 时 向 http://cd-service- 
hostapi/vl/cd-service 发 送 事件 ， 并 在 HTTP 请 求 的 header 中 传 入 认证 信 
上 县， 可 以 是 Basic、token、Bearer 等 模式 ， 主 要 用 于 接收 事件 方 进行 身份 
Niis 更 新 配置 后 ， 需 要 重启 Registry 服 务 器 ， 如 果 配 置 正确 ， 会 在 日 
志 中 看 到 对 应 的 提示 信息 ， 比 如 : 





onfi! ndpoint a r itp A d- e-host/api/v1/cd-service), timeout=1s 
map[Autho [to “Ir 


此 时 ， 用 户 再 通过 docker 客 户 端 去 push 或 pull， 或 者 查询 一 些 
manifiest 信 息 时 ， 束 会 有 相应 的 事件 发 送 到 定义 的 Endpoint 上 。 


接 下 来 看 一 下 事件 的 格式 和 其 中 的 主要 属性 








"events": [ 


"id": "70f44894-c4b4-4be8-9691-d37db77074cd", 
"timestamp": "2016-06-05T01:57:04.654256149Z", 
" 


“action : "push", 
"target": { 
"mediaType": "application/vnd.docker.distribution.manifest.vi+json", 


"size" 5, 

"digest" Kor ose re 
B106377071 adden 

"length": 45765 

"repository": “test-user/hello-world”, 

"url": "http://registry-server/v2/test-user/hello-world/manifests/ 
sha256: fd0af29ba2ae034449bf fb18dd6db2ed90d798464cc43aa81e 
63770713edaea8" 


}, 
"request": { 

nig": "odadas7f- d7ed-4fa9- afb4- dda58687a6ce" 

"addr": “client-host: 46504 

"host" “registry- server" 

"method" "PUT" 

"useragent": "docker/1. 9.1 go/go1.4.2 git-  commit/a34a1d5 kernel 

/4.2.0-35-generic os/linux arch/amd64 


}, 
“actor 人 k 
"name": “test-user" 


"source" it 
addr" "8e14c2a190f2: 5000" 
"instanceID" "c564003e- ddeb- 4a9b-8a30-fe8564e97ba9" 
} 
} 
] 
} 





每 个 事件 的 payload， 都 是 一 个 定义 好 的 JSON 格 式 的 数据 。 
通知 系统 的 主要 属性 主要 包括 action、target.mediaType、 
target.repository、 target.url、request.method、request.useragent、 


actor.name 等 ， 参 见 表 18-1。 


表 18-1 通知 系统 的 主要 属性 


EET TE: 
action 事件 所 关联 的 动作 类 型 ，pull i push 
target mediaType WI payload ÆW, 如 application/octet-stream 竺 
target, repository 镜像 名 称 
target. url IE YAR IDL URL 来 下 此 事件 厅 的 更 
request ,method string | HTTP 请 求 的 方法 
request ,useragent 市 来 此 事件 的 客户 端 类 型 
actor ,name 发 起 此 次 动作 的 用 户 





18.6.2 Notification H EH 

理解 了 如 何 配置 Docker Registry v2HJNotification, Endpoint, LAK 
接收 到 的 Event 的 数据 格式 ， 我 们 就 可 以 很 方便 地 实现 一 些 个 性 化 的 需 
求 。 这 里 简单 列举 两 个 场景 ， 一 个 是 如 何 统计 镜像 的 上 传 、 下 载 次 数 ， 
方便 了 解 镜像 的 使 用 情况 ， 另 一 个 场景 是 对 服务 的 持续 部 署 ， 方 便 管理 
镜像 ， 参 见 图 18-2。 


HANBURY LAE, TARA 

Notification M 

Docker =} ae 
Registry Server 

EHHE 

服务 根据 规则 用 上 传 上 的 镜像 部 寺 服 务 


图 18-2 ”通知 系统 整合 持续 部 署 






1. 镜 像 上 传 、 下 载 计 数 


很 负 见 的 一 个 场景 是 根据 镜像 下 载 次 数 ， 癌 用 户 推荐 使 用 最 多 的 锁 
像 ， 或 者 统计 镜像 更 新 的 频率 ， 以 便 了 解 用 户 对 镜像 的 维护 程度 。 


用 户 可 以 利用 Notification 的 功能 ， 定 义 自己 的 计数 服务 ， 并 在 
Docker Registry 上 配置 对 应 的 Endpoint。 在 有 pul、push 动 作 发 生 时 ， 对 
相应 镜像 的 下 载 或 者 上 传 次 数 进行 累加 ， 达 到 计数 效果 。 然 后 添加 一 个 
广 展 服务 。 


2. 实 现 应 用 的 上 自动 部 署 


在 这 个 场景 下 ， 可 以 在 新 的 镜像 push 到 Docker ” Registry 服 务 器 时 
候 ， 自 动 创 建 或 者 更 新 对 应 的 服务 ， 这 样 可 以 快速 得 看 新 镜像 的 运行 效 
果 或 者 进行 集成 测试 。 用 户 还 可 以 根据 事件 中 的 相应 属性 ， 比 如 用 户 信 
轧 、 镜 像 名 称 等 ， 调 用 对 应 的 服务 部 署 接 口 进行 自动 化 部 署 操 作 。 








18.7 本 章 小 结 


本 章 详 细 介 绍 了 使 用 Docker Registry 的 两 种 主要 方式 ， 通过 容器 方 
式 运行 和 通过 本 地 安装 运行 并 注册 为 系统 服务 ， 以 及 添加 Nginx 反 回 代 
理 ， 添 加 用 户 认证 功能 。 接 下 来 还 详细 介绍 了 Docker Registry 配 置 文件 
中 各 个 选项 的 含义 和 使 用 。 最 后 演示 如 何 通 过 脚本 来 实现 对 镜像 的 批量 
管理 ， 以 及 使 用 Registry 的 通知 系统 来 文 持 更 多 应 用 场景 。 读 者 通过 本 
ee 


私有 仓库 服务 是 集中 存储 镜像 的 场所 ， 它 的 性 能 和 稳定 性 将 影响 基 
于 Docker 容 右 的 开发 和 部 署 过程 。 在 生产 环境 中 ， 笔 者 推荐 使 用 负载 均 
衡 来 提高 仓库 服务 的 性 能 ， 还 可 以 利用 HAProxy 等 方式 对 仓库 服务 进行 
容错 。 同 时 ， 为 了 安全 考虑 ， 要 为 仓库 访问 局 用 HTTPS 等 加 密 协 议 来 确 
保 通 信 的 安全 。 








第 19 章 ”安全 防护 与 配置 
Docker 是 基于 Linux 操 作 系 统 实现 的 应 用 虚拟 化 。 运 行 在 容器 内 的 
进程， 跟 运 行 在 本 地 系统 中 的 进程 本 质 上 并 无 区 别 ， 配 置 不 合适 的 安全 
策略 将 可 能 给 本 地 系统 带 来 安全 风险 。 因 此 ，Docker 的 安全 性 在 生产 环 
境 中 是 十 分 关键 的 衡量 因素 。 


Docker 容 器 的 安全 性 ， 很 大 程度 上 依赖 于 Linux 系 统 自嘲 。 目 前 ， 
在 评估 Docker 的 安全 性 时 ， 主 要 考虑 下 和 面 儿 个 方面 : 


Linux 内 核 的 命名 空间 机 制 提 供 的 容器 隔离 安全 ; 
:Linux 控 制 组 机 制 对 容器 资源 的 控制 能 力 安全 ; 
Linux 内 核 的 能 力 机 制 所 融 来 的 操作 权限 安全 ; 
Docker 程 序 〈 特 别 是 服务 端 ) 本 吴 的 抗 攻击 性 ; 


A (包括 AppArmor、SELinux 等 ) 对 容器 安全 性 
SEA 


.通过 第 三 方 工 具 (如 Docker Bench 工 具 ) 对 Docker 环 境 的 安全 性 进 
行 评 估 。 


本 章 就 针对 这 几 个 方面 进行 讨论 。 








19.1 命名 空间 隔离 的 安全 


Docker 容 器 和 LXC 容 器 在 实现 上 很 相似 ， 所 提供 的 安全 特性 也 基本 
一 致 。 当 用 docker run 命令 启动 一 个 容 右 时 ，Docker 将 在 后 台 为 容 右 创 
建 一 个 独立 的 命名 空间 。 


命名 空间 提供 了 最 基础 也 是 最 直接 的 隔离 ， 在 容器 中 运行 的 进程 不 
会 被 运行 在 本 地 主机 上 的 进程 和 其 他 容器 通 过 正 第 渠道 及 现 和 影响 。 


例如 ， 通 过 命名 空间 机 制 ， 每 个 容器 都 有 自己 独 有 的 网 络 栈 ， 意 味 
着 它们 不 能 访问 其 他 容器 的 套 接 字 〈socket) 或 接口 。 当 然 ， 容 器 默认 
可 以 与 本 地 主机 网 络 连通 ， 如 果 主 机 系统 上 做 了 相应 的 交换 设置 ， 容 器 
可 以 像 跟 主机 交互 一 样 和 其 他 容 圳 交互。 局 动容 圳 时， 指定 公共 端口 或 
容器 可 以 相互 通信 了 《用户 可 以 根据 配置 来 限制 通信 的 


从 网 络 架 构 的 角度 来 看 ， 所 有 的 容器 实际 上 是 通过 本 地 主机 的 网 桥 
(dockerO) 进行 相互 通信 ， 惑 像 物理 机 器 通过 物理 交换 机 通信 一 


那么 ，Linux 内 核 中 实现 命名 空间 《特别 是 网 络 命名 空间 ) 的 机 制 
个 足够 成 熟 呢 ? 


Linux 内 核 从 2.6.15 版 本 〈2008 年 7 月 发 布 ) 开始 引入 命名 空间 ， 至 
今 经 历 了 数 年 的 演化 和 改进 ， 并 应 用 于 诸多 大 型 生产 系统 中 。 


实际 上 ， 命 名 空间 的 想法 和 设计 提出 的 时 间 要 更 早 ， 最 初 是 
OpenVZ 项 目 的 重要 特 件 。OpenVZ 项 目 早 在 2005 年 就 已 经 正式 发 布 ， 其 
设计 和 实现 更 加 成 熟 。 


当然 ， 与 虚拟 机 方式 相 比 ， 通 过 命名 空间 来 实现 的 隔离 并 不 是 那么 
绝对 。 运 行 在 容器 中 的 应 用 可 以 直接 访问 系统 内 核 和 部 分 系统 文件 。 因 
此 ， 用 户 必须 保证 容器 中 应 用 是 安全 可 信 的 (这 跟 保 证 运行 在 系统 中 的 
软件 是 可 信和 的 一 样 )， 否 则 本 地 系统 将 可 能 受到 威胁 ， 即 必须 保证 镜像 
的 来 源 和 自身 可 靠 。 


Docker 目 1.3.0 版 本 起 对 镜像 管理 引入 了 签名 系统 ， 加 强 了 对 镜像 安 
































全 性 的 防护 ， 用 户 可 以 通过 签名 来 验证 镜像 的 完整 性 和 正确 性 。 


19.2 ”控制 组 资源 控制 的 安全 


控制 组 是 Linux 容 右 机 制 中 的 男 外 一 个 关键 组 件 ， 它 负责 实现 资源 
的 审计 和 限制 。 


控制 组 机 制 的 相关 技术 出 现 于 2006 年 ，Linux 内 核 从 2.6.24 版 本 开始 
正式 引入 该 技术 。 


当 用 户 执行 docker ” ”run 命令 启 动 一 个 Docker 容 器 时 ，Docker 将 通过 
Linux 相 关 的 调用 ， 在 后 台 为 容器 创建 一 个 独立 的 控制 组 策略 集合 ， 该 
集合 将 限制 容器 内 应 用 对 资源 的 消耗 。 


控制 组 提供 了 很 多 有 用 的 特性 。 它 确保 各 个 容器 可 以 公平 地 分 享 主 
机 的 内 存 、CPU、 磁 盘 IO 等 资源 ;当然 ， 更 重要 的 是 ， 通 过 控制 组 ， 可 
以 限制 容器 对 资源 的 占用 ， 确 保 了 妆 茶 个 容器 对 资源 消耗 过 大 时 ， 不 会 
影响 到 本 地 主机 系统 和 其 他 容 右 。 


尽管 控制 组 不 负责 隔离 容器 之 间 相 互 访 问 、 处 理 数 据 和 进程 ， 但 是 
它 在 防止 恶意 攻击 特别 是 拒绝 服务 攻击 (DDoS) 方面 是 十 分 有 效 的 。 


对 于 支持 多 用 户 的 服务 平台 比如 公有 的 各 种 Paass、 容 右 云 ) E, 
控制 组 尤 其 重要 。 例 如 ， 妆 个 别 应 用 容器 出 现 异常 的 时 候 ， 可 以 保证 本 
地 系统 和 其 他 容器 正常 运行 而 不 受 影响 ， 从 而 避免 引发 < 雪崩 ?灾难 。 

















19.3 ”内 核能 力 机 制 


能 力 机 制 〈《Capability) 是 Linux 内 核 一 个 强大 的 特性 ， 可 以 提供 细 
粒度 的 权限 访问 控制 。 传 统 的 Unix 系 统 对 进程 权限 只 有 根 权限 (用 户 id 
为 0， 即 为 root 用 户 ) 和 非 根 权限 (用 户 非 root 用 户 〉 两 种 粗 粒 拔 的 区 


Ho 








Linux 内 核 目 2.2 版 本 起 文 持 能 力 机 制 ， 它 将 权限 划分 为 更 加 细 粒 拔 
的 操作 能 力 ， 既 可 以 作用 在 进程 上 ， 也 可 以 作用 在 文件 上 。 


例如 ， 一 个 Web 服 务 进 程 只 需要 绑 定 一 个 低 于 1024 的 端口 的 权限 ， 
并 不 需要 完整 的 root 权 限 。 那 么 它 只 需要 被 授权 net_bind_service 能 力 即 
可 。 此 外 ， 还 有 很 多 其 他 的 类 似 能 力 来 避免 进程 获取 root 权 限 。 


默认 情况 下 ，Docker 局 动 的 容 堪 被 严格 限制 只 人 允许 使 用 内 核 的 一 部 
分 能 力 ， 包 括 chown、dac_override、fowner、kill、setgid、setuid、 
setpcap、 net_bind_service, net_raw. sys_chroot. mknod, setfcap、 
audit_ write， 等 等 。 

使 用 能 力 机 制 对 加 强 Docker 容 右 的 安全 性 有 很 多 好 处 。 通 常 ， 在 服 
务 句 上 会 运行 一 扒 需 要 特权 权限 的 进程 ， 包 括 ssh、cron、syslogd、 人 硬件 
管理 工具 模块 《例如 负载 模块 ) 、 网 络 配置 工具 ， 等 等 。 容 器 跟 这 些 进 
n 因为 几乎 所 有 的 特权 进程 都 由 容器 以 外 的 支持 系统 来 进行 
管理 ， Yi) H: 


"ssh 访问 被 答 主 主机 上 的 ssh 服 务 来 管理 ，; 


-cron 通常 应 该 作为 用 户 进 程 执行 ， 权 限 交 给 使 用 它 服 务 的 应 用 来 处 
FE, 


-日志 系 统 可 由 Docker 或 第 三 方 服务 管理 ; 
硬件 管理 无 天 紧要 ， 容 器 中 也 就 无 需 执行 udevd 以 及 类 似 服务 ; 


网 络 管理 也 都 在 主机 上 设置 ， 除 非特 殊 需 求 ， 容 器 不 需要 对 网 络 
进行 配置 。 

















从 上 面 的 例子 可 以 看 出 ， 大 部 分 情况 下 ， 容 器 并 不 需要 “真正 
的 ”root 权 限 ， 容 右 只 需要 少数 的 能 力 即 可 。 为 了 加 强 安全 ， 容 右 可 以 禁 
用 一 些 没 必要 的 权限 。 包 括 : 


禁止 任何 文件 挂 载 操 作 ; 
-禁止 直接 访问 本 地 主机 的 套 接 字 ; 
p 问 一 些 文件 系统 的 操作 ， 比 如 创建 新 的 设备 、 修 改 文 件 属 


sF; 
禁止 模块 加 载 。 


这 样 ， 就 算 攻击 者 在 容器 中 取得 了 root 权 限 ， 也 不 能 获得 本 地 主机 
的 较 高 权限 ， 能 进行 的 破坏 也 有 限 。 


不 恰当 地 分 配 了 内 核能 力 ， 会 导致 容器 内 应 用 获取 破坏 本 地 系统 的 
权限 。 例 如 ， 早 期 的 Docker 版 本 曾经 不 恰当 的 继承 
CAP DAC_READ_SEARCH 能 力 ， 导 致 容器 内 进程 可 以 通过 系统 调用 
访问 到 本 地 系统 的 任意 文件 目录 。 


默认 情况 下 ，Docker 采 用 白 名 单机 制 ， 禁 用 了 必需 的 一 些 能 力 之 外 
的 其 他 权限 ， 目 前 支持 CAP_ CHOWN、CAP DAC_OVERRIDE、 
CAP FSETID、CAP_FOWNER、CAP MKNOD、CAP NET_RAW、 
CAP SETGID、CAP _SETUID. CAP SETFCAP、 CAP _SETPCAP, 
CAP NET BIND SERVICE, CAP SYS CHROOT. CAP KILL, 
CAP _AUDIT_WRITE4%. 


当然 ， 用 户 也 可 以 根据 目 喘 需求 来 为 Docker 容 器 局 用 额外 的 权限 。 














19.4 Docker 服 务 端的 防护 


使 用 Docker 容 器 的 核心 是 Docker 服 务 端 。Docker 服 务 的 运行 日 前 还 
要 root 权 限 的 支持 ， 因 此 服务 端 安全 性 十 分 关键 。 


首先 ， 必 须 确 保 只 有 可 信和 的 用 户 才 可 以 访问 到 Docker 服 务 。Docker 
允许 用 户 在 主机 和 容器 间 共 享 文件 夹 ， 问 时 个 需 要 限制 容 右 的 访问 权 
Me, A DLA AER ARR il]. PON, TRA PR oa A a YN 
主机 的 根 目 录 / 映 射 到 容 右 的 /host 目 录 中 ， BARRY 从 上 就 可 以 对 主 
机 的 文件 系统 进行 任意 修改 了 。 事 实 上 ， 几 乎 所 有 虚拟 化 系统 都 允许 类 
TAN SORA 而 没 法 阻止 恶意 用 户 共 享 主机 根 文件 系统 到 虚拟 机 系 














这 将 会 造成 很 严重 的 安全 后 采 。 因 此 ， 当 提供 容 堪 创建 服务 时 《 例 
如 通过 一 个 Web 服务 器 ) ， 要 更 加 注意 进行 参数 的 安全 检查 ， 防 止 恶 意 
的 用 户 用 特定 参数 来 创建 一 些 破坏 性 的 容器 。 


为 了 加 强 对 服务 端的 保护 ，Docker 的 REST API (客户 端 用 来 跟 服 
务 端 通信 的 接口 ) 在 0.5.2 之 后 使 用 本 地 的 Unix 套 接 字 机 制 痊 代 了 原先 绑 
定 在 127.0.0.1 上 的 TCP 套 接 字 ， 因 为 后 者 容易 遭受 跨 站 脚本 攻击 。 现 在 
用 户 使 用 Unix 权 限 检 查 来 加 强 套 接 字 的 访问 安全 。 


用 户 仍 可 以 利用 HTTP 提 供 REST API 访 问 。 建 议 使 用 安全 机 制 ， 确 
保 只 有 可 信 的 网 络 或 YPN 网络， 或 证 书 保护 机 制 ( 例 如 受 保护 的 stunnel 
o 下 的 访问 可 以 进行 。 此 外 ， 还 可 以 使 用 HTTPS 和 证 书 来 加 强 
RAP o 


最 近 改 进 的 Linux 命 名 空间 机 制 将 可 以 实现 使 用 非 root 用 户 来 运行 全 
这 将 从 根本 上 解决 了 容器 和 主机 之 间 共 享 文件 系统 而 引起 
I 安全 问题 


| 目前 ，Docker 目 身 改进 安全 防护 的 目标 是 实现 以 下 两 个 重要 安全 特 
性 : 


将 容器 的 root 用 户 映 射 到 本 地 主机 上 的 非 root 用 户 ， 减 轻 容 器 和 主 
机 之 间 因 权限 提升 而 引起 的 安全 问题 ; 











.允许 Docker 服 务 端 在 非 root 权 限 下 运行 ， 利 用 安全 可 靠 的 子 进程 来 
代理 执行 需要 特权 权限 的 操作 。 这 些 子 进程 将 只 允许 在 限定 范围 内 进行 
操作 ， 例 如 仅仅 负责 虚拟 网 络 设 定 或 文件 系统 管理 、 配 置 操 作 等 。 





19.5 更 多 安全 特性 的 使 用 


除了 能 力 机 制 之 外 ， 还 可 以 利用 一 些 现 有 的 安全 软件 或 机 制 来 增强 
使 用 Docker 的 安全 性 ， 例 如 TOMOYO、AppArmor、SELinux、GRSEC 
ore 


Docker 当 前 默认 只 局 用 了 能 力 机制 。 用 户 可 以 选择 局 用 更 多 的 安全 
方案 来 加 强 Docker 主 机 的 安全 ， 例 如 : 


在 内 核 中 启用 GRSEC 和 PAX， 这 将 增加 更 多 的 编译 和 运行 时 的 安 
全 检查 ;并 且 通 过 地 址 随机 化 机 制 来 避免 恶意 探测 等 。 启 用 该 特性 不 需 
要 Docker 进 行 任何 配置 ; 


-使 用 一 些 有 增强 安全 特性 的 容 吉 模板 ， 比 如 带 AppArmor 的 模板 和 
Redhat 禹 SELinux 集 上 略 的 模板 。 这 些 模板 提供 了 额外 的 安全 特性 ; 


用户 可 以 自 定 义 更 加 严格 的 访问 控制 机 制 来 定制 安全 集 略 。 


此 外 ， 在 将 文件 系统 挂 载 到 容器 内 部 时 候 ， 可 以 通过 配置 只 读 
(read-only) 模式 来 避免 容器 内 的 应 用 通过 文件 系统 破坏 外 部 环境 ， 特 
别 是 一 些 系统 运行 状态 相关 的 目录 ， 包 括 但 不 限 
于 /proc/sys、/proc/irq、/proc/bus 等 等 。 这 样 ， 容 器 内 应 用 进程 可 以 获取 
所 需要 的 系统 信息 ， 但 无 法 对 它们 进行 修改 。 








19.6 ”使 用 第 三 方 检测 工具 


前 面 笔者 介绍 了 大 量 增 强 Docker 安 全 性 的 手段 。 要 逐一 去 检查 会 比 
较 繁 琐 ， 好 在 已 丝 有 了 一 些 进行 自动 化 检查 的 开源 工具 ， 比 较 出 名 的 有 
Docker Bench 和 clair。 下 面 分 别 介 绍 。 








19.6.1 Docker Bench 


Docker Bench 是 一 个 开源 项 目 ， 代 码 托管 
在 https:// github.com/docker/docker-bench-security。 


该 项 目 按 照 互 联网 安全 中 心 (Center for Internet Security，CIS) 对 
于 Docker 1.11+ 的 安全 规范 进行 一 系列 环境 和 检查， 发 现 当前 Docker 部 闭 
在 配置 、 安 全 等 方面 的 潜在 问题 。 


CIS Docker 规 范 在 包括 主机 配置 、Docker 引 擎 、 配 置 文件 权限 、 镜 
像 管理 、 容 器 运行 时 环境 、 安 全 项 等 六 大 方面 都 进行 了 相关 的 约束 和 规 
推荐 大 家 在 生产 环境 中 使 用 Docker 时 ， 采 用 该 规范 作为 部 署 的 安全 
示 准 。 


Docker Bench 自 身 也 提供 了 Docker 镜 像 ， 采 用 如 下 命令 ， 可 以 快 
对 本 地 环境 进行 安全 检查 。 





每 





$ docker run -it --net host --pid host --cap-add audit_control \ 
-v /var/lib:/var/lib \ 
-v /var/run/docker.sock:/var/run/docker.sock \ 
-v /usr/lib/systemd:/usr/lib/systemd \ 
-v /etc:/etc --label docker_bench_security \ 
docker/docker -bench-security 


# 

# Docker Bench for Security v1.1.0 
# 

# Docker, Inc. (c) 2015- 

# 


# Checks for dozens of common best-practices around deploying Docker containers 
in production. 
# Inspired by the CIS Docker 1.11 Benchmark: 
# https://benchmarks.cisecurity.org/downloads/show-single/index.cfm?file=docker16.110 


INFO] 1 - Host Configuration 


WARN] 1.1 - Create a separate partition for containers 

PASS] 1.2 - Use an updated Linux Kernel 

PASS] 1.4 - Remove all non-essential services from the host - Network 

WARN] 1.5 - Keep Docker up to date 

WARN] * Using 1.10.3, when 1.12.0 is current as of 2016-07-28 

INFO] * Your operating system vendor may provide support and security 
maintenance for docker 

INFO] 1.6 - Only allow trusted users to control Docker daemon 


INFO] * docker:x:999: ubuntu 

WARN] 1.7 - Failed to inspect: auditctl command not found. 
WARN] 1.8 - Failed to inspect: auditctl command not found. 
WARN] 1.9 - Failed to inspect: auditctl command not found. 
INFO] 1.10 - Audit Docker files and directories - docker.service 
INFO] * File not found 

INFO] 1.11 - Audit Docker files and directories - docker.socket 
INFO] * File not found 





[WARN] 1.12 - Failed to inspect: auditctl command not found. 





输出 结果 中 ， 带 有 不 同 的 级 别 ， 说 明 问题 的 严重 程度 。 一 般 要 尽量 
避免 出 现 WARN 或 以 上 的 问题 。 


19.6.2 clair 


CoreOS 团 队 推 出 的 clair 支 持 对 容器 的 文件 层 进行 扫描 从 而 发 现 潜在 
漏洞 ， 项 目地 址 为 https:/github.comy/coreos/clair。 


读者 可 以 通过 如 下 命令 快速 体验 : 





$ curl -L https://raw.githubusercontent.com/coreos/clair/v1.2.2/docker-compose. 
yml -o $HOME/docker -compose.yml 

$ mkdir $HOME/clair_config 

$ curl -L https://raw.githubusercontent.com/coreos/clair/v1.2.2/config.example. 
yaml -o $HOME/clair_config/config.yaml 

$ $EDITOR $HOME/clair_config/config.yaml # Edit database source to be postgresql:// 
postgres: password@postgres :5432?sslmode=disable 

$ docker-compose -f $HOME/docker-compose.yml up -d 





19.7 本 章 小 结 


总 体 来 看 ， 基 于 Linux 上 成 熟 的 安全 机 制 以 及 结合 Apparmor、 
SELinux、GRSEC 等 安全 机 制 ， 可 以 很 好 地 保证 Docker 容 器 的 安全 。 


但 是 任何 技术 层面 实现 的 安全 ， 都 需要 合理 的 使 用 才能 得 到 巩固 ， 
特别 是 对 于 生产 系统 ， 可 能 遭遇 未 知 的 安全 风险 ， 一 定 要 配合 完善 的 监 
控 系 统 来 加 强 管 理 。 


在 使 用 Docker 过 程 中 ， 对 于 安全 问题 需要 注意 如 下 几 方面 : 


.在 使 用 Docker 容 器 运行 应 用 的 时 候 ， 一 定 要 牢记 容器 目 身 所 提供 
的 隔离 性 其 实 并 没有 那么 完善 ， 需 要 加 强 对 容器 内 应 用 的 安全 审查 。 要 
容器 即 应 用 ， 原 先 保障 应 用 安全 的 各 种 手段 ， 都 可 以 合理 地 
借鉴 利用 。 


.采用 专用 的 服务 器 来 运行 Docker 服 务 端 和 相关 的 管理 服务 ， 如 ssh 
监控 和 进程 监控 、 管 理工 具 nrpe、collectd 等 ， 并 对 该 服务 器 启用 最 高 级 
别 的 安全 机 制 ， 而 把 其 他 业务 服务 都 放 到 容器 中 去 运行 。 


.将 运行 Docker 容 器 的 机 器 划分 为 不 同 的 组 ， 互 相信 任 的 机 堪 放 到 
同一 个 组 内 ; 组 之 间 进 行 安全 隔离 ， 同 时 进行 定期 的 安全 检查 。 


` 随 看 容器 大 规模 地 使 用 和 和 集成， 其 至 组 成 容 幽 集群 。 需 要 考虑 在 
容器 网 络 上 进行 必 备 的 安全 防护 ， 避 免 诸 如 DDoS、ARP 攻 击 、 规 则 表 
攻击 等 网 络 安全 威胁 ， 这 也 是 生产 环境 需要 关注 的 重要 问题 。 


























第 20 章 ”高 级 网 络 功 能 


本 章 将 介绍 Docker 中 关于 网 络 的 高 级 知识 ， 包 括 网 络 的 启动 和 配置 
参数 、DNS 的 使 用 配置 、 容 器 访问 和 病 口 映射 的 相关 实现 。 


接 下 来 ， 介 绍 在 一 些 具 体 场 景 中 ，Docker 支 持 的 网 络 定制 配置 ， 以 
及 通过 Linux 命 令 来 调整 、 补 充 、 甚 至 奉 换 Docker 默 认 的 网 络 配置 。 


最 后 介绍 关于 Docker 网 络 的 一 些 工 具 和 项 目 。 


20.1 网络 局 动 与 配置 参数 


Docker 启 动 时 会 在 主机 上 自动 创建 一 个 docker0 虚 拟 网 桥 ， 实 际 上 是 
一 个 Linux 网 桥 ， 可 以 理解 为 一 个 软件 交换 机 ， 它 会 在 挂 载 其 上 的 接口 
之 间 进 行 转发 ， 如 图 20-1 所 示 。 
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图 20-1 Docker 网 络 


同时 ，Docker 随 机 分 配 一 个 本 地 未 占用 的 私有 网 段 〈 在 RFC1918 中 
定义 ) 中 的 一 个 地 址 给 docker0 接 口 。 比 如 典型 的 172.17.42.1， 掩 码 为 
255.255.0.0。 此 后 启动 的 容器 内 的 网 口 也 会 自动 分 配 一 个 同一 网 段 

(172.17.0.0/16) 的 地 址 。 


当 创建 一 个 Docker 容 器 的 时 候 ， 同 时 会 创建 了 一 对 veth ” ”pair 接 口 
( 当 数 据 包 发 送 到 一 个 接口 时 ， 另 外 一 个 接口 也 可 以 收 到 相同 的 数据 
包 ) 。 这 对 接口 一 端 在 容器 内 ， 即 eth0; 另 一 端 在 本 地 并 被 挂 载 到 
docker0 网 桥 ， 名 称 以 veth 开 头 〈 例 如 vethAQI2QT) 。 通 过 这 种 方式 ， 
主机 可 以 跟 容 器 通信 ， 容 器 之 间 也 可 以 相互 通信 。 如 此 一 来 ，Docker 束 
创建 了 在 主机 和 所 有 容器 之 间 一 个 虚拟 共享 网 络 。 


下 面 是 跟 Docker 网 络 相 关 的 命令 参数 。 其 中 有 些 命 令 选 项 只 有 在 
Docker 服 务 启动 的 时 候 才 能 配置 ， 而 且 不 能 马上 生效 : 


指定 容器 挂 载 的 网 桥 ; 





--b BRIDGE or--bridge=BRIDGE 





---bip=CIDR——E till docker0 fi) #4804 ; 


-H SOCKET...or--host=SOCKET... Docker 服 务 端 接收 命令 的 通 








道 ; 
`--icc=true|false 一 一 是 否 支 持 容器 之 间 进 行 通信 ，; 
---ip-forward=true|false 启用 net.ipv4.ip_forward， 即 打开 转发 功 
能 ; 





---iptables=true|false 2% IE Dockers Jiptables# WU) ; 

---mtu=B YTES——¥ #5] 24 P AMTU. 

下 面 2 个 命令 选项 既 可 以 在 局 动 服 务 时 指定 ， 也 可 以 Docker 容 器 局 
动 (docker run) 时 候 指 定 。 在 Docker 服 务 启 动 的 时 候 指 定 则 会 成 为 默 
认 值 ， 后 续 执 行 docker run 时 可 以 履 盖 设置 的 默认 值 。 

.--dns=IP_ ADDRESS.. 一 一 使 用 指定 的 DNS 服务 器 ; 
xe DNS FE Re dk 


最 后 这 些 选 项 只 能 在 docker ”run 执行 时 使 用 ， 因 为 它 是 针对 容器 的 
特性 内 容 : 


--h HOSTNAME or--hosthame=HOSTNAME— 配置 容器 主机 名 ; 


---dns-search=DOMAIN... 











---link=CONTAINER_NAME: ALIAS 
Be; 


添加 到 男 一 个 容器 的 连 


---net=bridge|none|container: 
NAME_or_ID|host|user_defined_network: 


配置 容器 的 桥接 模式 ; 
--p SPEC or--publish=SPEC 一 一 映射 容器 端口 到 箱 主 主机 ; 
BRIN AS a A i O Bll fg E EDL. 
其 中 ，--net 选 项 文 持 五 种 模式 ， 如 下 所 示 : 
--net=bridge 一 一 默认 配置 。 为 容器 创建 独立 的 网 络 命名 空间 ， 分 
配 网 卡 、IP 地 址 等 网 络 配 置 ， 并 通过 veth 接 口 对 将 容 右 挂 载 到 一 个 虚拟 
网 桥 (默认 为 docker0) E; 


--net=none 一 一 为 容 露 创建 独立 的 网 络 命名 空间 ， 但 不 进行 网 络 配 
置 ， 即 容 堪 内 没有 创建 网 卡 、 卫 地 址 等 ; 








--P or--publish-all=true|false 














---net=container: NAME, or ID 意味 着 新 创建 的 容器 共享 指定 
的 已 存在 容器 的 网 络 命名 空间 ， 两 个 容器 内 的 网 络 配 置 共 享 ， 但 其 他 资 
M GEETE, RAE) 还 是 相互 隔离 的 ; 


--net=host 一 一 意味 着 不 为 容器 创建 独立 的 网 络 命名 空间 ， 容 器 内 
看 到 的 网 络 配 置 (网 卡 信 息 、 路 由 表 、Iptables 规 则 等 ) 均 与 主机 上 保持 
一 致 。 注 意 其 他 资源 还 是 与 主机 隔离 的 ; 


---net=user_defined_network 用 户 自 行 用 network 相 关 命 令 创 建 一 
个 网 络 ， 同 一 个 网 络 内 的 容器 彼此 可 见 ， 可 以 采用 更 多 类 型 的 网 络 插 
件 。 




















20.22 ”配置 容器 DNS 和 主机 名 
Docker 支 持 自 定义 容器 的 主机 名 和 和 DNS 配置。 
1. 相 关 配 置 文件 


实际 上 ， 容 器 中 主机 名 和 DNS 配置 信息 都 是 通过 三 个 系统 配置 文件 
来 维护 的 : /etc/resolv.conf、/etc/hostname 和 /etc/hosts。 


启动 一 个 容器 ， 在 容器 中 使 用 mount 命 令 可 以 看 到 这 三 个 文件 挂 载 


fours 
信 J® e 








$ docker run -it ubuntu 
root@75dbd6685305:/# mount 


/dev/mapper/ubuntu--vg-root on /etc/resolv.conf type ext4 (rw,relatime,errors= 
remount-ro, data=ordered 
/dev/mapper /ubuntu- -vg-root on /etc/hostname type ext4 (rw,relatime,errors= 
unt-ro, data=ordered 
ee eee -vg-root on /etc/hosts type ext4 (rw, relatime, errors=remount - 
ro, data=ordered) 





其 中 ，/etc/resolv.conf 文 件 在 创建 容器 时 候 ， 默 认 会 与 宿主 
机 /etc/resolv.conf 文 件 内 容 保持 一 致 : 





root@75dbd6685305:/# cat /etc/resolv.conf 

# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8) 
# DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN 
nameserver 8.8.8.8 

search my-docker-cloud.com 





/etc/hosts 文 件 中 默认 只 记录 了 容器 自身 的 一 些 地 址 和 名 称 : 





peace /# cat /etc/hosts 
172.17.0.2 75dbd6685305 

VEL localhost ip6-localhost ip6-loopback 
fe00: :0 ip6-localnet 

ff00: :0 ip6-mcastprefix 

ff02::1 ip6-allnodes 

ff02::2 ip6-allrouters 

127.0.0.1 localhost 
/etc/hostname 文 件 则 记录 了 容器 的 主机 名 。 
root@75dbd6685305:/# cat /etc/hostname 
75dbd6685305 





2. Aan AOAC et SCF 
Docker 1.2.0 开 始 支 持 在 运行 中 的 容器 里 直接 编 


辑 /etchosts，y/etc/hostname 和 /etc/resolve.conf 文 件 。 


但 是 这 些 修改 是 临时 的 ， 只 在 运行 的 容器 中 保留 ， 容 器 终止 或 重启 
后 并 不 会 被 保存 下 来 。 也 不 会 被 docker commit 提 交 。 


3. 通 过 参数 指定 


如 果 用 户 想 要 目 定 义 容 器 的 配置 ， 可 以 在 创建 或 司 动 容器 时 利用 下 
面 的 参数 指定 : 


.指定 主机 名 -h HOSTNAME 或 者 --hostname=HOSTNAME 。 设 定 容 
器 的 主机 名 ， 它 会 被 写 到 容器 内 的 /etchostname 和 /etchosts。 但 这 个 主 
机 名 只 有 容器 内 能 看 到 ， 在 容器 外 部 则 看 不 到 ， 既 不 会 在 docker ps 中 显 
示 ， 世 不 会 在 其 他 的 容器 的 /etc/hosts 看 到 。 


.记录 其 他 容器 主机 名 --link=CONTAINER_NAME: ALIAS. m 
会 在 创建 容器 的 时 候 ， 添 加 一 个 所 连接 容器 的 主机 名 到 容器 内 /etc/hosts 
文件 中 。 这 样 ， 新 创建 容器 可 以 直接 使 用 主机 名 来 与 所 连接 容器 通信 。 


.指定 DNS 服务 器 --dns=IP_ADDRESS。 添 加 DNS 服务 器 到 容器 
的 /etc/resolv.conf 中 ， 容 器 会 用 指定 的 服务 器 来 解析 所 有 不 在 /etohosts 中 
的 主机 名 。 


.指定 DNS 搜索 域 --dns-search=DOMAIN。 设 定 容 器 的 搜索 域 ， 当 设 
定 搜索 域 为 .example.com 时 ， 在 搜索 一 个 名 为 host 的 主机 时 ，DNS 不 仅 
搜索 host， 还 会 搜索 host.example.com 。 








20.3 ”容器 访问 控制 

容器 的 访问 控制 主要 通过 Linux 上 的 iptables 防 火 墙 软件 来 进行 管理 
je iptables 是 Linux 系 统 流 行 的 防火 墙 软件 ， 在 大 部 分 发 行 版 中 都 

市 。 

1. 容 器 访问 外 部 网 络 

从 前 面 的 捅 述 中 ， 我 们 知道 容器 默认 指定 了 网 天 为 docker0 网 桥 上 
的 docker0 内 部 接口 。docker0 内 部 接口 同时 也 是 在 主机 的 一 个 本 地 接 
口 。 因 此 ， 容 右 默 认 情 况 下 是 可 以 访问 到 宿主 机 本 地 的 。 


M Oy AAO ENL RARR, es BE ELEIT 


在 宿主 机 Linux 系 统 中 ， 检 和 查 转发 是 否 打开 : 





$ sudo sysctl net.ipv4.ip_forward 





如 果 为 0， 说 明 没 有 开局 转发 ， 则 需要 手动 打开 : 





$ sudo sysctl -w net.ipv4.ip_forward=1 





更 简单 的 ， 在 局 动 Docker 服 务 的 时 候 设 定 --ip-forward=true，Docker 
服务 会 自动 打开 宿主 机 系统 的 转发 服务 。 


2. 容 器 之 间 的 访问 
容 峰 之 间 相 互 访 问 ， 需 要 两 方面 的 文 持 : 


:网络 拓 扑 是 否 已 经 连通 。 默 认 情 况 下 ， 所 有 容器 都 会 连接 到 
docker0 网 桥 上 ， 这 意味 着 默认 情况 下 拓扑 是 互通 的 ; 


.本 地 系统 的 防火 墙 软 什 iptables 是 全 了 人 允许 访问 通过 。 这 取决 于 防火 
当 的 默认 规则 是 允许 《大 部 分 情况 ) 还 是 禁 











下 面 分 两 种 情况 介绍 容器 之 间 的 访问 。 
(1) 访问 所 有 端口 
当局 动 Docker 服 务 时 候 ， 默 认 会 添加 一 条 “人 允许 ”转发 策略 到 iptables 
的 FORWARD 链 上 。 通 过 配置 --icc=truelfalse《〈 默 认 值 为 tue) 参数 可 以 
控制 默认 的 策略 。 


为 了 安全 考虑 ， 可 以 在 Docker 配 置 文件 中 配置 DOCKER_OPTS=-- 
icc=false 来 默认 禁止 容器 之 间 的 相互 访问 。 


同时 ， 如 果 启 动 Docker 服 务 时 手动 指定 --iptables=false 参 数 则 不 会 修 
改 答 主 机 系统 上 的 jptables 规 则 。 


(2) 访问 指定 端口 








在 通过 -icc=false 禁 止 容器 间 相互 访问 后 ， 仍 可 以 通过 -- 
link=CONTAINER_NAME: ALIAS 选 项 来 允许 访问 指定 容器 的 开放 端 
Els 


例如 ， 在 启动 Docker 服 务 时 ， 可 以 同时 使 用 icc=false--iptables=true 
参数 来 配置 容器 间 茶 止 访问 ， 并 人 允许 Docker 自 动 修改 系统 中 的 iptables 规 
则 。 


此 时 ， 系 统 中 的 iptables 规 则 可 能 是 类 似 如 下 规则 ， 禁 止 所 有 转发 流 


val 





$ sudo iptables -nL 


Chain FORWARD (policy ACCEPT) 
arget prot opt so destination 
DROP all -- 0.0.0.0/0 0.0.0.0/0 





之 后 ， 局 动容 器 (docker run) 时 使 用 -- 
link=CONTAINER_NAME: ALIAS 选 项 。Docker 会 在 iptable 中 为 两 个 互 
联 容 器 分 别 添加 一 条 ACCEPT 规 划 ， 人 允许 相互 访问 开放 的 端口 (取决 于 
Dockerfile 中 的 EXPOSE 行 ) 。 


此 时 ，iptables 的 规则 可 能 是 类 似 如 下 规则 : 





$ sudo iptables -nL 


Chain FORWARD (policy ACCEPT) 


target prot opt source destination 

ACCEPT tcp -- 172.17.0.2 172.17.0.3 tcp spt:80 
ACCEPT tcp -- 172.17.0.3 172.17.0.2 tcp dpt:80 
DROP. all -- 0.0.0.0/0 0.0.0.0/0 








VX. D 
VERS 


--link=CONTAINER NAME: ALIAS 中 的 CONTAINER NAMEH fil 
必须 是 Docker 目 动 分 配 的 容器 名 ， 或 使 用 --name 参 数 指 定 的 名 字 。 不 能 
为 容器 -h 参 数 配置 的 主机 名 。 


20.4 有 映射 容器 端口 到 宿主 主机 的 实现 


默认 情况 下 ， 容 器 可 以 主动 访问 到 外 部 网 络 的 连接 ， 但 是 外 部 网 络 
无 法 访问 到 容器 。 

1. 容 器 访问 外 部 实现 

假设 容器 内 部 的 网 络 地 址 为 172.17.0.2， 本 地 网 络 地 址 为 10.0.2.2。 
容器 要 能 访问 外 部 网 络 ， 源 地 址 不 能 为 172.17.0.2， 需 要 进行 源 地 址 映 
射 (Source NAT, SNAT) ， 修 改 为 本 地 系统 的 耳 地 址 10.0.2.2。 

映射 是 通过 iptables 的 源 地 址 伪装 操作 实现 的 。 


查看 主机 nat 表 上 POSTROUTING 链 的 规则 。 该 链 负 责 网 包 要 离开 主 
机 前 ， 改 写 其 源 地 址 。 





$ do iptables -t nat -nvL POSTROUTING 
Chain POSTROUTING (policy ACCEPT 12 packets, 738 bytes) 
pkts bytes target prot opt in ut source destination 


0 @ MASQUERADE all -- * !'dockerO 172.17.0.0/16 0.0.0.0/0 





其 中 ， 上 述 规则 将 所 有 源 地 址 在 172.17.0.0/16 网 段 ， 且 不 是 从 
docker0 接 口 发 出 的 流量 〈( 即 从 容器 中 出 来 的 流量 ) ， 动 态 伪 装 为 从 系 
统 网 卡 发 出 。MASQUERADE 行 动 跟 传统 SNAT 行 动 相 比 ， 好 处 是 它 能 
从 网 卡 动 态 获 取 地 址 。 


2. 外 部 访问 容器 实现 

容器 允许 外 部 访问 ， 可 以 在 docker run 时 候 通 过 -p 或 -P 参 数 来 启用 。 

不 管用 那 种 办 法 ， 其 实 也 是 在 本 地 的 iptable 的 nat 表 中 添加 相应 的 规 
则 ， 将 访问 外 部 IP 地 址 的 网 包 进 行 目 标 地 址 DNAT， 将 目标 地 址 修改 为 
容器 的 IP 地 址 。 


以 一 个 开放 80 端 口 的 web 容 器 为 例 ， 使 用 -P 时 ， 会 自动 映射 本 地 
49000~49900 汽 文 内 的 端口 随机 端口 到 容器 的 80 端 口 : 














$ iptables -t nat -nvL 


Chain PREROUTING (policy ACCEPT 236 packets，33317 bytes) 


pkts bytes target prot opt in out source destination 
567 30236 DOCKER all € 0.0.0.0/0 0.0.0.0/0 
ADDRTYPE match dst-type LOCAL 
Chain DOCKER (2 references) 
pke ytes 上 prot opt in out source destination 
!dockerO * 0.0.0.0/0 0.0.0.0/0 


t 
fe hee A to:172.17.0.2:80 





可 以 看 到 ，nat 表 中 涉及 两 条 链 ，PREROUTING 链 负责 包 到 达 网 络 
接口 时 ， 改 写 其 目的 地 址 。 其 中 规则 将 所 有 流量 都 扔 到 DOCKER 链 。 而 
DOCKER 链 中 将 所 有 不 是 从 docker0 进 来 的 网 包 ( 意 味 着 不 是 本 地 主机 

TÆ) ， 将 目标 端口 为 49153 的 ， 修 改 目 标 地 址 为 172.17.0.2， 目 标 端口 
修改 为 80。 


使 用 -p 80: 80 时 ， 与 上 面 类 似 ， 只 是 本 地 端口 也 为 80: 








$ iptables -t nat -nvL 


Chain PREROUTING (policy ACCEPT 236 packets, 33317 bytes) 
pkts bytes target prot opt in out source destination 
567 30236 DOCKER all 5 0.0.0.0/0 0.0.0.0/0 
ADDRTYPE match dst-type LOCAL 
Chain DOCKER (2 references) 
pkts bytes target prak opt in ut source destination 
0 - dang 0.0.0.0/0 0.0.0.0/0 
tcp dpt:80 to: 472. 17.0.2:80 





有 两 点 需要 注意 : 


-这 里 的 规则 映射 了 0.0.0.0， 意 味 着 将 接受 主机 来 自 所 有 网 络 接口 上 
的 流量 。 用 户 可 以 通过 -p IP: host_port: container_port 或 -p IP: : port 来 
指定 绑 定 的 外 部 网 络 接 口 ， 以 制定 更 严格 的 访问 规则 ; 


:如 果 希 望 映射 永久 绑 定 到 某 个 固定 的 IP 地 址 ， 可 以 在 Docker 配 置 文 
件 /etc/default/docker 中 指定 DOCKER_OPTS="--ip=IP_ADDRESS"， 之 后 
重启 Docker 服 务 即 可 生效 。 


20.5 配置 docker0 网 桥 


Docker 服 务 默认 会 创建 一 个 名 称 为 docker0 的 Linux 网 桥 〈 其 上 有 一 
个 docker0 内 部 接口 ) ， 它 在 内 核 层 连通 了 其 他 的 物理 或 虚拟 网 卡 ， 这 
就 将 所 有 容器 和 本 地 主机 都 放 到 同一 个 物理 网 络 。 用 户 使 用 Docker 创 建 
多 个 自 定义 网 络 时 可 能 会 出 现 多 个 容器 网 桥 。 


Docker 默 认 指 定 了 docker0 接 口 的 PP 地址 和 子 网 掩 码 ， 让 主机 和 容器 
之 间 可 以 通过 网 桥 相 互通 信 ， 它 还 给 出 了 MTU (接口 允许 接收 的 最 大 
传输 单元 ) ， 通 名 是 1500 字 节 ， 或 笨 主 主机 网 络 路 由 上 文 持 的 默认 值 。 

这 些 值 都 可 以 在 服务 启动 的 时 候 进 行 配 置 : 


`--bip=CIDR 一 一 IP 地 址 加 掩 码 格式 ， 例 如 192.168.1.5/24:; 
---mtu=B YTES——4i MIAU MDocker mtu 配 置 。 
也 可 以 在 配置 文件 中 配置 DOCKER_OPTS， 然 后 重启 服务 。 由 于 目 


前 Docker 网 桥 是 Linux 网 桥 ， 用 户 可 以 使 用 brctl show 来 查看 网 桥 和 端口 
连接 信息 : 





$ sud show 

bridge name bridge id STP enabled interfaces 

dockerO 8000. 3a1d7362b4ee no veth65f9 
vethdda6 


LS 


TES 
brctl 命 令 如 果 系 统 中 没有 自 带 ， 可 以 使 用 sudo apt-get install bridge- 
utils 来 安装 (Debian、Ubuntu 系 列 系统 ) 。 


每 次 创建 一 个 新 容器 的 时 候 ，Docker 从 可 用 的 地 址 段 中 选择 一 个 空 
朵 的 耳 地 址 分 配给 容器 的 eth0 端 口 。 并 且 使 用 本 地 主机 上 docker0 接 口 的 
IP 作 为 容器 的 默认 网 关 : 





$ docker run -i -t --rm base /bin/bash 


$ ip addr show etho 
24: ethO: <BROADCAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group 
default qlen 1000 
link/ether 32:6f:e0:35:57:91 brd ff: ff: ff: ff: ff: ff 
inet 172.17.0.3/16 scope global ethg 
valid_lft forever preferred_lft forever 
inet6 fe80::306f:e0ff:fe35:5791/64 scope link 
valid_lft forever preferred_lft forever 
$ ip route 
default via 172.17.42.1 dev etho 
172.17.0.0/16 dev ethO proto kernel scope link src 172.17.0.3 
$ exit 








目前 ，Docker 不 文 持 在 局 动容 器 时 候 指定 IP 地 址 。 


VY A 
VE Teh 


实际 上 ，Linux 网 桥 上 自身 功能 已 经 十 分 完备 ， 也 可 以 蔡 换 为 
OpenvSwitch 等 功能 更 强大 的 网 桥 实 现 。 


20.6 He XM 
除了 默认 的 docker0 网 桥 ， 用 户 也 可 以 指定 网 桥 来 连接 各 个 容器 


在 启动 Docker 服 务 的 时 候 ， 使 用 -b ”BRIDGE 或 --bridge=BRIDGE 来 
指定 使 用 的 网 桥 。 


如 末 服 务 已 经 运行 ， 那 需要 先 停 止 服务 ， 并 删除 旧 的 网 桥 : 








$ sudo service docker stop 
$ sudo ip li nk set dev docker® down 
$ sudo brctl delbr docker®o 





然后 创建 一 个 网 桥 bridge0: 





$ sudo brctl addbr bridgeo 
$ sudo ip addr ada 192.168.5.1/24 dev bridged 
$ sudo ip link set dev bridgeO up 





查看 确认 网 桥 创 建 并 局 动 : 





$ ip addr show bridged 
4: bridgeO: <BROADCAST,MULTICAST> mtu 1500 qdisc oe state UP group default 
link/ether 66:38:d0:0d:76:18 brd ff: ff: ff: ff: ff:f 
inet 192.168.5.1/24 scope global bridgeg 
valid_lft forever preferred_lft forever 





配置 Docker 服 务 ， 默 认 桥 接 到 创建 的 网 酉 上 : 





$ echo 'DOCKER_OPTS="-b=bridge0"' >> /etc/default/docker 
$ sudo service docker start 





局 动 Docker 服 务 。 狐 建 一 个 容器 ， 可 以 看 到 它 已 经 桥接 到 J 了 bridge0 
ee 


可 以 继续 用 brctl show 命 令 查 看 桥接 的 信息 。 男 外 ， 在 容器 中 可 以 使 
用 ip addr 和 ip route 命 令 来 查看 了 地址 配置 和 路 由 信息 


20.7 ”使 用 OpenvSwitch 网 桥 

Docker 默 认 使 用 的 是 Linux 自 带 的 网 桥 实现 ， 实 际 上 ，OpenvSwitch 
项 目 作 为 一 个 成 熟 的 虚拟 交换 机 实现 ， 具 备 更 丰富 的 功能 。 笔 者 认为 ， 
将 来 会 有 越 来 越 多 的 容器 支持 OpenvSwitch 作 为 底层 网 桥 实 现 。 

1. 环 境 


在 Ubuntu 14.04 系 统 中 进行 测试 。 操 作 流 程 也 适用 于 RedHat/CentOS 
系列 系统 ， 但 少数 命令 和 配置 文件 可 能 略 有 差异 。 


2. 安 装 Docker 


安装 最 近 版 本 的 Docker 并 启动 服务 。 默 认 情 况 下 ，Docker 服 务 会 创 
建 一 个 名 为 docker0 的 Linux 网 桥 ， 作 为 连接 容器 的 本 地 网 桥 。 


可 以 通过 如 下 命令 碍 看 : 











$ sudo brctl show 
bridge name bridge id STP enabled interfaces 
dockeroO 8000 .000000000000 no 





网 桥 docker0 内 部 接口 的 默认 地 址 可 能 为 172.17.42.1。 





$ ifconfig dockerg9 

dockerg Link encap:Ethernet HWaddr 56:84:7a:fe:97:99 
inet addr:172.17.42.1 Bcast:0.0.0.0 Mask:255.255.0.0 
BROADCAST MULTICAST MTU:1500 Metric:1 
RX packets:0 errors:0 dropped:® overruns:0 frame:0 
TX packets:@ errors:0 dropped:0 overruns:® carrier:0 
collisions:@ txqueuelen:0 
RX bytes:@ (0.0 B) TX bytes:0 (0.0 B) 





3.22348 OpenvSwitch 


通过 如 下 命令 安装 OpenvSwitch: 





$ sudo aptitude install openvswitch-switch 





测试 添加 一 个 网 桥 br0 并 查看 : 





$ sudo ovs-vsctl add-br bro 
$ sudo ovs-vsctl show 
20d0b972-e323-4e3c-9e66-1d8bb57c7fF5 

Bridge ovs-br 

Port ovs-br 
Interface bro 
type: internal 
ovs_version: "2.0.2" 





4. 配 置 容器 连接 到 OpenvSwitch 网 桥 


目前 OpenvSwitch 网 桥 还 不 能 直接 文 持 挂 载 容 器 ， 需 要 手动 在 
OpenvSwitch 网 桥 上 创建 虚拟 网 口 并 挂 载 到 容器 中 。 


D 创建 无 网 口 容 器 
局 动 一 个 ubuntu 容 露 ， 并 指定 不 创建 网 络 ， 后 面 我 们 手动 添加 网 


络 。 较 新 版 本 的 Docker 默 认 不 允许 在 容器 内 修改 网 络 配置 ， 需 要 在 run 
的 时 候 指 定 参 数 --privileged=true: 





$ docker run --net=none --privileged=true -it ubuntu:14.04 bash 
root@298bbb17c244: /# 





记 住 这 里 容器 的 id 为 298bbb17c244。 
此 时 在 容器 内 查看 网 络 信 息 ， 只 能 看 到 一 个 本 地 网 卡 lo: 








root@298bbb17c244: /# ifconfig 
lo k encap:Local Loopback 
inet addr: 127. 0.0.1 Mask:255.0.0.0 
inet6 addr: ::1/128 Scope:Host 
UP LOOPBACK RUNNING MTU:65536 Metric:1 
RX packets:0 errors:0 dropped:0 overruns:0 frame:0 
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 
collisions:@® txqueuelen:0 
RX bytes:@ (0.0 B) TX bytes:0 (0.0 B) 





(2) 手动 为 容器 添加 网 络 
下 载 OpenvSwitch 项 目 提 供 的 支持 Docker 容 器 的 辅助 脚本 ovs- 


docker: 





$ wget https://github.com/openvswitch/ovs/raw/master/utilities/ovs-docker 
$ sudo chmod a+x ovs-docker 





为 容器 添加 网 卡 ， 并 挂 载 到 br0 上 ， 命 令 为 : 





$ sudo ./ovs-docker add-port brO ethO 298bbb17c244 --ipaddress=172.17.0.2/16 





添加 成 功 后 ， 在 容器 内 查看 网 络 信 息 ， 多 了 一 个 新 添加 的 网 卡 
eth0， 对 应 添加 的 IP 地 址 : 





root@298bbb17c244:/# ifconfig 

etho Link encap:Ethernet HWaddr ae:3d:75:2c:18:ba 
inet addr:172.17.0.2 Bcast:172.17.255.255 Mask:255.255.0.0 
inet6 addr: fe80::ac3d:75ff:fe2c:18ba/64 Scope:Link 
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 
RX packets:187 errors:0 dropped:2 overruns:0 frame:0 
TX packets:11 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:1000 
RX bytes:33840 (33.8 KB) TX bytes:1170 (1.1 KB) 

lo Link encap:Local Loopback 
inet addr:127.0.0.1 Mask:255.0.0.0 
inet6 addr: ::1/128 Scope:Host 
UP LOOPBACK RUNNING MTU:65536 Metric:1 
RX packets:0 errors:0 dropped:0 overruns:0 frame:0 
TX packets:@ errors:0 dropped:0 overruns:® carrier:0 
collisions:@® txqueuelen:0 
RX bytes: (0.0 B) TX bytes:0 (0.0 B) 





在 容器 外 ， 配 置 OpenvSwitch 的 网 桥 br0 内 部 接口 地 址 为 
172.17.42.2/16〈 只 要 与 所 挂 载 容 器 IP 在 同一 个 子 网 内 即 可 ) 





$ sudo ifconfig brO 172.17.42.2/16 





经 过 上 面 步骤 ， 容 器 已 经 连接 到 了 网 桥 br0 上 了 ， 拓 扑 如 下 所 示 : 





容器 (172.17.0.2/16) <- ->brg9 网 桥 <- ->br9 内 部 端口 (172.17.42.2/16) 








此 时 ， 在 容器 内 就 可 以 测试 是 否 连 通 到 网 酉 pr0 上 了 : 





root@298bbb17c244:/# ping 172.17.42.2 

PING 172.17.42.2 (172.17.42.2) 56(84) bytes of data. 

64 bytes from 172.17.42.2: icmp_seq=1 tt1=64 time=0.874 ms 

64 bytes from 172.17.42.2: icmp_seq=2 tt1=64 time=0.079 ms 

AC 

--- 172.17.42.2 ping statistics --- 

2 packets transmitted, 2 received, 0% packet loss, time 1001ms 
rtt min/avg/max/mdev = 0.079/0.476/0.874/0.398 ms 





在 容器 内 也 可 以 配置 默认 网 关 为 br0 接 口 地 址 : 





root@298bbb17c244:/# route add default gw 172.17.42.2 





另外 ， 删 除 该 接口 的 命令 为 : 





$ sudo ./ovs-docker del-port brO eth9 <CONTAINER_ID> 





实际 上 ，Docker 社 区 也 已 经 讨论 对 OpenvSwitch 进 行 原生 支持 了 。 
在 Docker 原 生 文 持 OpenvSwitch 之 前 ， 用 户 可 以 通过 编写 脚本 或 更 高 级 
的 工具 来 让 这 一 过 程 自 动 化 。 





20.8 ”创建 一 个 点 到 点 连接 


默认 情况 下 ， ee a 
a [ee 需要 两 个 容器 之 间 可 以 直 连 通信 ， 而 不 用 通过 主机 网 桥 
行 


解决 办 法 很 简单 : 创建 一 对 peer 接 口 ， 分 别 放 到 两 个 容器 中 ， 配 置 
成 点 到 点 链 路 类 型 即 可 。 下 面 这 个 过 程 我 们 将 手动 执行 Docker 配 置 容 需 
网 络 的 大 部 分 步 又。 


首先 司 动 两 个 容 需 





$ docker run -i --rm --net=none base /bin/bash 
rooteatirscifeena: /# 
$ docker run -t --rm --net=none base /bin/bash 


root@12e343489d2f: /# 





找到 进程 号 ， 然 后 创建 网 络 命名 空间 的 跟踪 文件 : 





$ docker inspect -f '{{.State.Pid}}' 1f1f4c1f931a 
2989 

$ docker inspect -f '{{.State.Pid}}' 12e343489d2f 
3004 

$ sudo mkdir -p /var/run/netns 


$ sudo ln -s /proc/2989/ns/net /var/run/netns/2989 
$ sudo ln -s /proc/3004/ns/net /var/run/netns/3004 





创建 一 对 peer 接 口 。 





$ sudo ip link add A type veth peer name B 





添加 IP 地 址 和 路 由 信息 : 





$ sudo ip link set A netns 2989 

$ sudo ip netns exec 2989 ip addr add 10.1.1.1/32 dev A 

$ sudo ip netns exec 2989 ip link set A up 

$ sudo ip netns exec 2989 ip route add 10.1.1.2/32 dev A 
$ sudo ip link set B netns 3004 

$ sudo ip netns exec 3004 ip addr add = 1.1.2/32 dev B 

$ sudo ip netns exec 3004 ip link set B up 

$ sudo ip netns exec 3004 ip route add ei 1.1.1/32 dev B 





现在 这 两 个 容器 就 可 以 相互 ping 通 ， 并 成 功 建立 连接 。 点 到 点 链 路 
AN i BEF A AF PA FEY 





此 外 ， 也 可 以 不 指定 --net=none 来 创建 点 到 点 链 路 。 这 样 容 需 还 可 
以 通过 原先 的 网 络 来 通信 。 


利用 类 似 的 办 法 ， 可 以 创建 一 个 只 跟 主 机 通信 的 容器 。 但 是 一 般 情 
况 下 ， 更 推荐 使 用 --icc=false 来 关闭 容器 之 间 的 通信 。 


20.9 ”本 章 小 结 


本 章 具 体 讲解 了 使 用 Docker 网 络 的 一 些 高 级 部 署 和 操作 配置 ， 包 括 
配置 启动 参数 、DNS、 容 器 的 访问 控制 管理 等 ， 并 介绍 了 Docker 网 络 相 
关 的 一 些 工 具 和 项 目 。 


网 络 是 一 个 复 灯 的 环境 ， 特 别 在 云 计算 领域 ， 因 为 网 络 配 置 造 成 的 
管理 成 本 ， 以 及 因为 网 络 原 因 造 成 的 业务 损失 ， 都 占 到 十 分 可 观 的 比 
例 。 这 是 因为 网 络 领域 所 涉及 的 学 科 和 技术 门类 众多 ， 包 括 软 件 、 硬 
vo 
Bil o 


从 目前 来 看 ，Docker 网 络 所 能 提供 的 功能 还 十 分 简单 ， 并 且 基 本 上 
都 是 依赖 于 Linux 操 作 系 统 上 的 现 有 技术 。 这 在 初期 可 以 让 Docker 不 必 
考虑 太 多 的 网 络 问题 ， 从 而 关注 上 自身 的 特点 得 以 快速 发 展 。 但 随 着 
Docker 应 用 部 署 在 各 种 分 布 式 环境 、 特 别 是 云 平 台 上 ， 网 络 方面 的 需求 
和 撼 颈 将 会 大 量 涌现 ， 而 且 不 少 都 是 新 的 问题 。 


如 何 结合 已 有 的 网 络 虚 拟 化 技术 来 解决 Docker 网 络 的 问题 ， 将 是 未 
来 一 段 时 间 内 云 计算 领域 值得 持续 探讨 的 重点 技术 话题 。 下 一 章节 里 ， 
笔者 将 介绍 Docker 更 强大 的 插件 化 网 络 方案 : libnetwork。 























第 21 章 ”libnetwork 插 件 化 网 络 功能 


从 1.7.0 版 本 开始 ，Docker 正 式 把 网 络 跟 存储 这 两 部 分 的 功能 实现 都 
以 插件 化 形式 剥离 出 来 ， 允 许 用 户 通 过 指令 来 选择 不 同 的 后 端 实现 。 这 
也 是 Docker 希 望 构建 围绕 着 容 右 的 强大 生态 系统 的 一 些 积极 的 尝试 。 


剥离 出 来 的 独立 容器 网 络 项 目 叫 libnetwork， 从 名 字 就 能 看 出 来 ， 
它 希 所 将 来 为 不 同 容器 定义 统一 规范 的 网 络 层 标 准 。 本 章 将 介绍 
libnetwork 的 概念 和 使 用 方法 。 


21.1 容器 网 络 模 型 

libnetwork 中 容器 网 络 模型 (Container Networking Model, CNM) 
十 分 简洁 ， 可 以 让 上 层 使 用 网 络 的 大 量 应 用 容器 最 大 程度 上 不 去 关心 底 
层 实现 。 


容 絮 网 络 模 型 的 结构 如 图 21-1 所 示 。 





Sandbox MMA ) 





Endpoint (4A 44) 


Network ( 网络 ) 





图 21-1 容器 网 络 模型 





‘Sandbox 〈 沙 盒 ) : 代表 一 个 容器 (准确 地 说 ， 是 其 网 络 合 名 空 
EJ) ; 


‘Endpoint GZA A) : 代表 网 络 上 可 以 挂 载 容器 的 接口 ， 会 分 配 IP 
址 ; 


“Network 可 以 连通 多 个 接 入 点 的 一 个 子 网 。 


可 见 ， 对 于 使 用 CNM 的 容器 管理 系统 来 说 ， 具 体 底下 网 络 如 何 实 
现 ， 不 同 子 网 彼此 怎么 隔离 ， 有 没有 QoS， 都 可 以 不 天心。 只 要 插件 能 
提供 网 络 和 接 入 点 ， 只 需 把 容 右 给 接 上 或 者 拔 下 ， 剩 下 的 都 是 插件 驱动 
目 己 去 实现 。 这 样 就 解 厢 和 容 占 和 网 络 功 能 ， 十 分 灵活 。 


CNM 的 典型 生命 周期 如 图 21-2 所 示 。 首 先 ， 是 驱动 注册 自己 到 网 络 
控制 器， 网 络 控 制 占 使 用 驱动 类 型 ， 来 创建 网 络 ， 然 后 在 创建 的 网 络 上 
创建 接口 ， 最 后 把 容器 连接 到 接口 上 即 可 。 销 毁 过 程 则 正好 相反 ， 先 把 
容 需 从 接 入 口上 番 载 ， 然 后 删除 接 入口 和 网 络 即 可 。 














节 动 注册 到 NetworkController 


Network NewNetwork () ， 创 建 网 络 并 绑 定 到 驱动 
Controller 
CreateEndpoint () ,创建 接 人 点 


Delete () ; 删除 一 个 网 络 


H i s 
Leave () ; Head A AHA Join () , AMER IEA N 


Delete () . AMAPHERA 


图 21-2 
目前 CNM 文 持 的 驱动 类 型 有 四 种 : Null, Bridge, Overlay 
简单 介绍 如 下 : 


Remote. 





ES a PA 28 ES) AE a Fd 3 


容器 局 动 后 无 网 络 连接 ; 


‘Null: 不 提供 网 络 服务 ， 
‘Bridge: 就 是 Docker 传 统 上 默认 用 Linux 网 桥 和 Iptables 实 现 的 单机 


网 络 ; 
‘Overlay: 是 用 vxlan 隧 道 实现 的 跨 主 机 容器 网 络 ; 


‘Remote: 扩展 类 型 ， 预 留 给 其 他 外 部 实现 的 方案 ， 比 如 有 一 套 第 
三 方 的 SDN 方 案 (如 OpenStack Neutron) ， 就 可 以 接 进来 。 


从 位 置 上 看 ，libnetwork 上 面 文 持 Docker， 下 面 文 持 网 络 插件 ， 目 
身 处 于 十 分 关键 的 中 间 层 。 读 者 如 果 熟 悉 计算 机 网 络 协议 模型 的 话 ， 
libnetwork 束 是 最 核心 的 TCP/IP 层 。 


目前 ， 已 有 大 量 的 网 络 方案 开始 文 持 libnetwork。 包 括 OpenStack 
Kuryr 项 目 ， 通 过 文 持 libnetwork， 让 Docker 可 以 直接 使 用 Neutron 提 供 的 
网 络 功 能 。Calico 等 团队 也 编号 了 插件 文 持 libnetwork， 从 而 无 颖 地 文 持 
Docker 网 络 功能 。 


21.2 ”Docker 网 络 相 关 命 令 


在 libnetwork 文 持 下 ，Docker 网 络 相关 命令 都 作为 network 的 子 命令 
出 现 。 


围绕 着 管理 CNM 的 生命 周期 ， 主 要 包括 以 下 命令 
‘Is: 列 出 所 有 的 网 络 ; 

‘create: 创建 一 个 网 络 ; 

-rm: 删除 一 个 网 络 ; 
‘connect: 把 容器 接 入 到 网 络 ; 
‘disconnect: 把 容器 从 网 络 外 载 下 来 ; 
‘inspect: 查看 网 络 的 详细 信息 。 
下 面 分 别 介绍 这 些 命令 。 

1. 列 出 网 络 

命令 格式 : docker network ls[OPTIONS] 
支持 参数 包括 : 

f: 指定 输出 过 滤器 ; 
--no-trunc: 不 截断 输出 内 容 。 


实际 上 ， “在 个 执行 额外 网 络 命令 的 情况 下 ， 用 户 执行 docker 
network ls 命令 ， 一 般 情 况 下 可 以 看 到 已 创建 的 三 个 网 络 : 





$ docker network ls 

NETWORK ID NAME DRIVER 
461e02c94370 bridge bridge 
e4d5886b2d2f o null 
adbc1879bac5 host host 





分 别 为 三 种 驱动 的 网 络 : null、host 和 bridge。 

2. 创 建 网 络 

命令 格式 : docker network create[OPTIONS]NETWORK 
支持 参数 包括 : 

---aux-address value: 辅助 的 IP 地 址 ; 

--d, --driver string: 网 络 驱 动 类 型 ， 如 bridge 或 overlay; 
---gateway value: 网 关 地 址 ; 
---internal: 禁止 外 部 对 创建 网 络 的 访问 ; 

---ip-range value: 分 配 IP 地 址 范围 ; 

---ipam-driver string: IP 地 址 管理 的 插件 类 型 ; 
---ipam-opt value: IP 地 址 管理 插件 的 选项 ; 

--ipv6: 支持 IPv6 地 址 ; 

--label value: 为 网 络 添加 元 标签 信息 ; 

--0, --opt value: 网 络 驱 动 支持 的 选项 ; 
---subnet value: 网 络 地 址 段 。 

3. 删 除 网 络 

删除 指定 的 网 络 。 当 网 络 上 并 不 存在 接 入 点 时 ， 删 除 成 功 。 
命令 格式 : docker network rm NETWORK[NETWORK...] 
4. 接 入 容器 


将 一 个 容器 连接 到 一 个 已 存在 的 网 络 上 。 





命令 格式 : docker network connect[OPTIONS]NETWORK 
CONTAINER 


支持 参数 包括 : 
--alias value: 为 容器 添加 一 个 别名 ， 此 别名 仪 在 所 添加 网 络 上 可 


.--ip string: 指定 IP 地 址 ; 

-ip6 string: 指定 IPv6 地 址 ; 

--link value: 添加 链接 到 另外 一 个 容器 ; 
---link-local-ip value: 为 容器 添加 一 个 链接 地 址 。 
5. EU aM A a 

将 一 个 连接 到 网 络 上 的 容器 从 网 络 上 移 除 。 


命令 格式 : docker network disconnect[OPTIONS]NETWORK 
CONTAINER 


支持 参数 包括 -f、--force: 强制 把 容器 从 网 络 上 移 除 。 
6. 查 看 网 络 信 息 
查看 已 存在 网 络 的 具体 信息 。 


命令 格式 : docker network 
inspect[OPTIONS]NETWORK[NETWORK...] 


文 持 参数 包括 -f、--format string: 给 定 一 个 golang 模 板 字 符 串 ， 对 
输出 结果 进行 格式 化 。 


21.3 构建 路 主机 容器 网 络 


在 这 里 ， 笔 者 将 演示 使 用 libnetwork 自 带 的 Overlay 类 型 张 动 来 轻松 
实现 跨 主机 的 网 络 通 信 。Overlay 驱 动 默认 采用 VXLAN 协 议 ， 在 IP 地 址 
可 以 互相 访问 的 多 个 主机 上 之 间 搭 建 隧道 ， 让 容器 可 以 互相 访问 。 


1. 配 置 网 络 信息 管理 数据 库 


我 们 知道 ， 在 现实 世界 中 ， 要 连通 不 同 的 主机 需要 交换机 或 路 由 器 
( 跨 子 网 时 需要 )〉 这 样 的 互联 设备 。 这 上 坚 设备 一 方面 是 在 物理 上 起 到 连 
接 作 用 ， 但 更 重要 的 是 起 到 了 网 络 管理 的 功能 。 例 如 ， 主 机 位 置 在 什么 
地 方 ， 地 址 是 多 少 等 信息 ， 部 需要 网 络 管理 平面 来 维护 。 


在 libnetwork 的 网 络 方案 中 ， 要 实现 跨 主 机 容器 网 络 也 需要 类 似 的 
一 个 网 络 信息 管理 机 制 ， 只 不 过 这 个 机 制 简单 得 多 ， 只 是 一 个 键 值 数据 
库 而 已 ， 如 Consul、Etcd、ZooKeeper 等 工具 都 可 以 满足 需求 如 图 21-3 所 
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图 21-3 ENLIA ANE 


以 Consul 为 例 ， 启 动 一 个 progrium/consul 容 器 ， 并 映射 服务 到 本 地 
的 8500 端 口 ， 用 如 下 命令 即 可 : 





$ docker run -d \ 

-p "8500:8500" \ 

-h "consul" \ 

rogrium/consul -server -bootstrap 
tad@b71erdraae1925d9eab7c13146294b7084618828792a84069aea2e52770d 





所 在 主机 作为 数据 库 节 点 。 
2. 配 置 Docker 主 机 


启动 两 台 Docker 主 机 n1 和 n2， 分 别 安装 好 最 新 的 Docker- 
engine(1.7.0+)。 确保 这 两 台 主 机 之 间 可 以 通 过 IP 地 址 互相 访问 ， 另 外 ， 
都 能 访问 到 数据 库 节 点 的 8500 端 口 。 


配置 主机 的 Docker 服 务 启动 选项 如 下 所 示 : 





DOCKER_OPTS="$DOCKER_OPTS --cluster-store=consul://<CONSUL_NODE>:8500 --cluster- 
advertise=eth0: 2376" 





重新 启动 Docker 服 务 如 下 所 示 : 





$ sudo service docker restart 





3. 创 建 网 络 


分 别 在 n1 和 n2 上 查看 现 有 的 Docker 网 络 ， 包 括 三 个 默认 网 络 : 分 别 
bridge.、 host 和 none 类 型 。 





ni:$ docker network 1s 
NETWORK ID NAME DRIVER 
dc581a3eab4c bridge bridge 
ee21a768c6f6 host host 
8diee747b894 none null 
n2:$ docker network ls 
NETWORK ID NAME DRIVER 
e7f24593bada bridge bridge 
5bfae3a62214 host host 
4adci9ad9bc7 none null 





在 任意 节点 上 创建 网 络 multi， 例 如 在 n1 上 执行 如 下 命令 即 可 完成 对 


路 主机 网 络 的 创建 : 





ni:$ docker network create -d overlay multi 


eadd374a18434a14c6171b778600507 Ff 300d330fF4622067d3078009a58506c2d 





创建 成 功 后 ， 可 以 同时 在 n1 和 n2 上 查看 到 新 的 网 络 multi 的 信息 : 





ni:$ docker network ls 
NETWORK ID NAME DRIVER 
dc581a3eab4c bridge bridge 
ee21a768c6f6 host host 
eadd374a1843 multi overlay 
8diee747b894 none null 
n2:$ docker network ls 
NETWORK ID NAME DRIVER 
e7f24593bada bridge bridge 
5bfae3a62214 host host 
eadd374a1843 multi overlay 
4adci9ad9bc7 none null 





此 时 ， 还 可 以 通 


过 docker 


network 


inspect 命 令 查 看 网 络 的 具体 信 





$ docker network inspect multi 


[ 
{ 


"Name": "multi", 


"Id": "eadd374a18434a14c6171b778600507f300d330f4622067d3078009a58506c2d", 


"Scope": "global", 
"Driver": "overlay", 
"EnableIPv6": false, 
"IPAM": { 


"Driver": "default", 


"Options": {}, 
"Config": [ 


"Subnet": 


"10.0.0.0/24", 


"Gateway": "10.0.0.1/24" 


] 
}, 
"Internal": false, 
"Containers": {}, 
"Options": {}, 
"Labels": {} 





看 网 络 信息 ， 


4. 测 试 网 络 


在 n1 上 局 动 一 个 容器 c1， 通 过 --net 选 项 指定 连接 到 multi 网 络 上 。 碍 


其 中 一 个 接口 eth0 已 经 连接 到 了 multi 网 络 上 : 





ni:$ docker run -it --name=c1 --net=multi busybox 


/#ipa 


1: lo: <LOOPBACK, UP, LOWER_UP> mtu 65536 qdisc noqueue 
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 
inet 127.0.0.1/8 scope host lo 

valid_lft forever preferred_lft forever 


inet6 ::1/128 scope host 


valid_lft forever preferred_lft forever 


72: ethO: <BROADCAST, MULTICAST, UP, LOWER_UP> mtu 1450 qdisc noqueue 


link/ether 02:42:0a:00:00:02 brd ff: ff: ff: ff: ff: ff 
inet 10.0.0.2/24 scope global etho 


valid_lft forever preferred_lft forever 
inet6 fe80::42:aff:fe00:2/64 scope link 
valid_lft forever preferred_lft forever 
74: eth1: <BROADCAST, MULTICAST, UP, LOWER_UP> mtu 1500 qdisc noqueue 
link/ether 02:42:ac:12:00:02 brd ff: ff: ff: ff: ff: ff 
inet 172.18.0.2/16 scope global ethi 
valid_lft forever preferred_lft forever 
inet6 fe80::42:acff:fe12:2/64 scope link 
valid_lft forever preferred_lft forever 





在 n2 上 启动 一 个 容器 c2， 同 样 连接 到 multi 网 络 上 。 
通过 ping cl 进行 测试 ， 可 以 访问 到 男 外 一 台 主 机 n1 上 的 容器 c1: 





n2:$ docker run -it --name=c2 --net=multi busybox 

/ # ping c1 

PING c1 (10.0.0.2): 56 data bytes 

64 bytes from 10.0.0.2: seq=0 tt1=64 time=0.705 ms 

64 bytes from 10.0.0.2: seq=1 tt1=64 time=0.712 ms 

64 bytes from 10.0.0.2: seq=2 tt1=64 time=0.629 ms 

AC 

--- c1 ping statistics --- 

3 packets transmitted, 3 packets received, 0% packet lossround-trip min/avg/max = 
0.629/0.682/0.712 ms 





21.4 本 章 小 结 
本 章 介 绍 了 Docker 新 的 网 络 功 能 和 插件 化 网 络 工 具 : libnetwork。 


从 1.7.0 之 前 的 本 地 主机 网 络 ， 到 新 版 本 里 面 强 大 的 跨 主 机 通信 网 络 
能 力 ，Docker 的 功能 已 经 从 单 主机 上 小 规模 服务 场景 ， 拓 展 到 了 大 规模 
oe a 这 对 于 Docker 文 持 容 器 云 场景 是 十 分 关 
键 和 一步 。 


从 位 置 上 看 ，libnetwork 通 过 CNM， 抽 象 了 下 层 的 网 络 实现 ， 让 
Docker 可 以 无 颖 文 持 不 同 的 网 络 技 术 ， 从 物理 网 络 到 虚拟 网 络 ， 只 要 文 
持 CNM， 即 可 被 Docker 所 使 用 。 


相 比 传统 场景 ， 容 喜 目 身 的 动态 性 、 高 密度 都 对 网 络 技术 带 来 了 更 
多 新 的 挑战 。Docker 从 1.12.0 开 始 将 Swarm 模 式 也 内 骸 到 了 引擎 中 ， 以 
提供 对 集群 网 络 更 好 的 支持 。 笔 者 相信 ， 是 否 能 够 合理 地 融合 软件 定义 
网 络 技术 ， 将 是 容器 在 大 规模 场景 下 能 否 得 到 有 效 使 用 的 关键 。 
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开源 拉 术 之 所 以 受到 越 来 越 多 的 关注 ， 很 重要 的 一 个 原因 是 不 同 项 
目 之 间 外 此 合作 ， 构 建 了 良好 的 生态 系统 。 围 绕 着 容器 技术 ， 多 个 社区 


和 公司 都 推出 了 很 多 优秀 的 工具 ， 让 容器 的 使 用 变 得 更 加 简单 ， 让 更 多 


第 四 部 分 开源 项 目 
高 可 用 的 键 值 数据 库 


Docker 三 剑客 之 Docker Machine 





Etcd 


Docker 三 剑客 之 Docker Compose 
Docker 三 剑客 之 Docker Swarm 

优秀 的 集群 资源 调度 平台 
生产 级 容器 集群 平台 


Mesos 





Kubernetes 


其 他 相关 项 目 





的 业务 场景 都 能 从 容器 技术 中 获 益 。 


本 部 分 将 介绍 一 些 重点 开源 项 目 ， 共 有 7 章 内 容 。 


第 22 章 将 介绍 CoreOS 公 司 开 源 的 高 可 用 分 布 式 键 值 数据 库 Etcd， 记 
项 目 已 经 被 广泛 应 用 到 分 布 式 系统 的 一 致 性 实现 和 服务 发 现 中 。 


第 23 到 25 章 将 介绍 Docker 公 司 推出 的 三 剑客 : Machine. Compose 
和 Swarm。 这 三 件 利器 的 出 现 ， 让 Docker 不 仅 仪 支持 单机 的 虚拟 化 ， 而 





且 能 文 持 更 广泛 的 集群 平台 ， 提 供 更 强大 灵活 的 功能 。 


第 26 章 将 介绍 Mesos 开 源 项 目 。 作 为 定位 数据 中 心 操 作 系 统 的 内 
核 ，Mesos 以 其 简洁 的 设计 、 强 大 的 功能 ， 


受到 众多 容器 云 平 台 的 青睐 。 


第 27 章 介绍 的 Kubernetes 项 目 更 是 在 业界 易 易 大 名 ， 由 Google 公 司 


开源 ， 已 经 成 为 容器 集群 管理 平台 的 事实 标准 。 


以 及 灵活 的 插件 支持 机 制 ， 








最 后 ， 第 28 章 还 介绍 了 众多 的 其 他 项 目 ， 这 些 项 目 在 持续 集成 、 管 
理 、 编 程 开发 等 功能 上 各 有 特色 ， 为 用 户 带 来 诸多 效率 上 的 提升 。 
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Etcd 是 CoreOS 团 队 【( 同 时 发 起 了 CoreoS、Rocket 等 热门 项 目 ) 发 起 
的 一 个 分 布 式 键 值 数据 库 项 目 ， 可 以 用 于 分 布 式 系统 中 的 配置 信息 管理 
和 服务 发 现 ， 目 前 已 经 被 广泛 应 用 到 大 量 开源 项 目 中 ， 包 括 
Kubernetes、CloudFoundry 和 CoreOS Fleet 等 。 


在 这 一 章 里 面 ， 笔 者 将 详细 介绍 该 项 目的 相关 知识 ， 包 括 安装 和 使 
用 ， 以 及 集群 管理 等 。 











22.1 简介 


Etcd 是 CoreOS 团 队 于 2013 年 6 月 发 起 的 开源 项 目 ， 它 的 目标 是 构建 
一 个 高 可 用 的 分 布 式 键 值 (key-value) 数据 库 ， 基 于 Go 语言 实现 。 


Setcd 


接触 过 分 布 式 系统 的 读者 应 该 知道 ， 分 布 式 系统 中 ， 最 基本 最 重要 
的 问题 就 是 各 种 信息 的 一 臻 性， 包括 对 服务 的 配置 信息 的 管理 、 服 务 的 
发 现 、 更 新 、 同 步 等 等 。 而 要 解决 这 些 问 题 ， 往 往 需 要 基于 一 套 能 保证 
一 致 性 的 分 布 式 数据 库 系 统 ， 比 如 经 典 的 Apache ZooKeeperJiA, iH 
过 维护 文件 目录 信息 来 实现 数据 的 一 致 性 。 


Etcd 就 是 专门 为 集群 环境 设计 ， 可 以 很 好 地 实现 数据 一 致 性 ， 提 供 
集群 节点 状态 管理 和 服务 目 动 发 现 等 。 














Etcd 目 前 在 github.comy/coreos/etcd 进 行 维护 ， 已 经 发 布 3.0 系 列 版 


受到 Apache ZooKeeper 项 目 和 doozer 项 目 2 的 局 发 ，Etcd 在 进行 设计 
的 时 候 重 点 考虑 了 下 面 四 个 要 素 : 


.简单 : 支持 REST 风 格 的 HTTP+JSON API; 





.安全 : 支持 HTTPS 方 式 的 访问 ; 
快速， 支持 并 发 每 秒 一 二 次 的 写 操作 ; 
可靠: 支持 分 布 式 结构 ， 基 于 Raft3 算 法 实现 一 致 性 。 








通常 情况 下 ， 用 户 使 用 Etcd 可 以 在 多 个 节点 上 局 动 多 个 实例 ， 并 将 
它们 添加 为 一 个 集群 。 同 一 个 集群 中 的 Etcd 实 例 将 会 自动 保持 彼此 信息 
的 一 臻 性， 这 意味 着 分 布 在 各 个 节点 上 的 应 用 也 将 获取 到 一 致 的 信息 。 


ree ZooKeeper 是 一 套 知 名 的 分 布 式 系统 中 进行 同步 和 一 致 性 管 
理 的 工具 。 

[2] doozer 是 一 个 一 致 性 分 布 式 数据 库 实现 ， 主 要 面 同 少 量 数据 ， 更 多 信 
息 可 以 参考 https://github.com/ha/doozerd。 

[3] Raft 是 一 套 通 过 选举 主 节点 来 实现 分 布 式 系统 一 致 性 的 算法 ， 相 比 于 
大 名 易 易 的 Paxos 算 法 ， 它 的 算法 过 程 相对 容易 理解 ， 由 Stanford 大 学 的 
Diego Ongaro 和 John Ousterhout 提 出 。 更 多 细节 可 以 参考 
https://raftconsensus.github.io 。 











22.2 ”安装 和 使 用 Etcd 

Etcd 基 于 Go 语 言 实 现 ， 因此 ， 用 户 可 以 从 项 目 主 
页 : https:/github.comy/coreos/etcd 下 载 源 代 码 目 行 编译 〈 需 要 Go 1.4 以 上 
版 本 ) ， 也 可 以 下 载 编 译 好 的 二 进 制 文件 ， 甚 至 直接 使 用 制作 好 的 
Docker 镜 像 文件 来 体验 。 

下 面 分 别 讲解 基于 二 进 制 文件 和 Docker 镜 像 的 两 种 方式 。 
LAMA 
(1) 下 载 和 安装 


编译 好 的 二 进 制 文件 都 在 github.com/coreos/etcd/releases 页 面 ， 用 户 
可 以 选择 需要 的 版 本 ， 或 通过 下 载 工 具 下 载 。 


例如 ， 下 面 的 命令 使 用 curl 工 具 下 载 压 缩 包 ， 并 解压 : 











© etcq-va.0.4-1inuxr-and64 t 
$ ta 2 cd o 0. reve -amd64. tar.gz 
$ a ere 证 0.4-linux- anmd64 


$c ce ies Lttps ie ithub.com/coreos/etcd/releases/download/v3.0.4/etcd-v3.0.4- 
E r.gz . tar.gz 





解压 后 ， 可 以 看 到 文件 包括 : 





$ ls 
Documentation etcd etcdctl README-etcdctl.md README .md 





其 中 etcd 是 服务 主 文件 ，etcdctl 是 提供 给 用 户 的 命令 客户 端 ， 其 他 
都 是 文档 文件 。 





提示 


不 含有 etcd-migrate 二 进 制 文件 ， 可 以 进行 旧版 本 的 迁 


通过 下 面 的 命令 将 二 进 制 文件 都 放 到 系统 可 执行 目录 /usr/local/bin/ 
或 /usr/bin/: 





$ sudo cp etcd* /usr/local/bin/ 





安装 就 已 经 完成 了 。 

(2) 使 用 Etcd 
下 面 将 先 以 单 节点 模式 为 例 讲解 Etcd 支 持 的 功能 和 操作 。 
查看 etcd 的 版 本 : 





$ ./etcd --version 

Git SHA: 953923c 

Go Version: gol 

Go OS/Arch: Tinie) nde 





直接 执行 Etcd 命 令 ， 将 启动 一 个 实例 监听 在 本 地 的 2379 和 4001 端 
口 。 此 时 ， 客户 端 可 以 通过 本 地 的 2379 和 4001 端 口 访问 Etcd; 其 他 Etcd 
本 地 实例 可 以 通过 2380 和 7001 端 口 连接 到 新 启动 实例 。 


类 似 如 下 的 信息 : 





$ etcd 

2016-09-29 16:23:21.071154 I | etcdmain: etcd Version: 3.0.4 

2016-09-29 16:23:21.071260 I | etcdmain: Git SHA: d53923c 

2016-09-29 16:23:21.071280 I | etcdmain: Go Version: go1.6.3... 

2016-09-29 16:23:21.509092 I | etcdserver: setting up the initial cluster version 


2016-09-29 16:23:21.542046 N | etcdserver: set the initial cluster version to 2.2 
2016-09-29 16:23:21.542226 I | etcdserver: published {Name:default ClientURLs: 
[http://localhost:2379 http://localhost:4001]} to cluster 7e27652122e8b2ae 





此 时 ， 可 以 通过 REST API 直 接 查 看 集群 健康 状态 : 





$ curl -L http: //127.0.0.1:2379/health 
{"health": "true" 





当然 ， 也 可 以 使 用 自 带 的 etcdctl 命 令 进 行 查看 (实际 上 是 封装 了 
REST API 调 用 ) : 





$ etcdctl cluster-health 
member ce2a822cea30bfca is healthy: got healthy result from http://localhost:2379 
cluster is healthy 





通过 etcdctl 设 置 和 获取 键 值 也 十 分 方便 ， 例 如 设置 键 值 对 
testkey: "hello world": 





$ ./etcdctl set testkey "hello world" 
hello world 

$ ./etcdctl get testkey 

hello world 





说 明 键 值 对 已 经 设置 成 功 了 。 


当然 ， 除 了 etcdctl 命 令 外 ， 也 可 以 直接 通过 HTTP 访 问 本 地 2379 端 口 
的 方式 来 进行 操作 ， 例 如 查看 testkey 的 值 : 





$ curl ae -X eur ,http : // localhost: 人 -d value="hello world" 

{"action": "set" era a key": "/testkey","value":"hello world", "modifiedIndex" 
3, "createdIndex" 3}} 

$ curl -L http: //localhost : 2379/v2/keys/testkey 

{"action": "get", "node": {"key":"/testkey", "value": "hello world", "modifiedIndex": 
3,"createdIndex":3}} 





注意 目前 API 版 本 为 v2， 将 来 出 了 新 的 版 本 后 ，API 路 径 中 则 对 应 
为 对 应 版 本 号 。 


2.Docker 镜 像 方式 下 载 


镜像 名 称 为 quay.io/coreos/etcd: v3.0.4， 可 以 通过 下 面 的 命令 启动 
etcd 服 务 监听 到 本 地 的 2379 和 2380 端 口 : 








$ docker run \ 
-p 2379:2379 \ 
-p 2380:2380 \ 
-v /etc/ssl/certs/:/etc/ssl/certs/ 
quay .io/coreos/etcd:v3.0.4 





3. 数 据 目 录 

作为 数据 库 ， 最 重要 的 自然 是 数据 存放 位 置 。 可 以 通过 --data-dir 选 
项 来 指定 存放 的 位 置 ， 默 认为 ${name}.etcd， 其 中 ${name} 为 节点 别名 ， 
默认 为 default。 


例如 ， 指 定 闻 把 别 名 为 test， 则 默认 数据 存放 目录 则 为 test.etcd: 











$ $ etcd --name "test" 
2016- a 30 10:34:09.883714 I | etcdmain: etcd Version: 2.2.2 


2016-09-30 10:34:09.883802 I | etcdmain: Git SHA: b4bddf6.. 
2016-09-30 10:34:09.884872 I | etcdserver: heartbeat = 100ms 
2016-09-30 10:34:09.884887 I | etcdserver: election = 1000ms 
2016-09-30 10:34:09.884901 I | etcdserver: snapshot count = 10000 





查看 数据 目录 下 内 容 。 





$ tree test.etcd 
test.etcd!— member 


snap 
[一 Q900000000000366 -0000000000002711. snap 


wa. 
[一 Q000000000000000 -0000000000000000.wal 
3 directories, 2 files 





Hep, snap HK PARES CRT ARS ARE wal A ox Pll 
记录 数据 库 的 操作 日 志 信息 (可 以 通 过 --wal-dir 参 数 来 指定 存放 到 特定 
sb 

4. 服 务 启动 参数 
Etcd 服 务 启动 的 时 候 支 持 一 些 参 数 ， 用 户 可 以 通过 这 些 参数 来 调整 
服务 和 和 集群 的 行为 。 参 数 可 以 通过 环境 变量 形式 传 入 ， 命 名 全 部 为 大 
写 ， 并 且 加 ETCD 前 级 ， 例 如 ETCD NAME='eted cluster’. 主要 参数 包 
括 : 通用 参数 、 集 群 参 数 、 安 全 相关 参数 、 代 理 参 数 。 
(1) 通用 参数 
些 参数 主要 跟 节 点 自身 配置 相关 ， 人 参见 表 22-1。 


表 22-1 Etcd 通 用 参数 





参 数 
--name ‘default’ 
--data-dir '${name}.etcd' 
-=Wal-dir ' ! 
--max-wals 5 
--snapshot-count '10000' 


--max-snapshots 5 


(2) 集群 参数 


这 些 参 数 跟 集群 行为 有 关 ， 


说 朋 
设置 成 员 的 别名 ， 建 议 为 每 个 成 员 配 置 可 识别 的 售 名 
数据 存储 的 目录 
指定 wal (write-ahead-log) 目录 ， 存 有 数据 库 操作 日 志 
最 多 保留 多 少 个 wal 文 件 
发 生 多 少 次 提交 就 存储 一 次 snapshot 
最 多 保留 多 少 个 snapshot 


参见 表 22-2。 


表 22-2 ”Etcd 和 集群 参数 


参 数 说 有明 
--heartbeat-interval '100' 心跳 消息 时 间 间 隐 
--election-timeout '1000' (重新 ) 选举 时 间 间 阿 
--listen-peer-urls 'http://localhost:2380, 


监听 peer 过 来 的 消息 
http://localhost:7001' AT peer A 
--listen-client-urls 'http://localhost:2379, ms 
WK PIER 
http://localhost:4001' 
--initial-advertise-peer-urls'http://localhost: 
2380, http://localhost:7001' 
--advertise-client-urls ' http://localhost:| 广播 到 集群 中 本 成 员 的 监听 客户 端 请 求 的 
2379, http://localhost:4001' 地 址 


广播 到 集群 中 本 成 员 的 peer 监听 通信 地 址 


--initial-cluster 'default=http://localhost: 


2380,default= http://localhost:7001' Ha CC 
初始 化 集群 状态 为 新 建 ， 也 可 以 指定 为 
existing 表示 要 加 入 一 个 已 有 集群 中 
月 动 集 铬 的 时 候 指定 集群 口令 ， 只 有 相 后 
token 的 节点 才能 加 入 到 同一 集群 


--initial-cluster-state 'new' 


--initial-cluster-token 'etcd-cluster' 


--discovery ' ' 通过 日 动 探测 方式 发 现 集群 成 员 的 地 址 
--debug !falsel 是 否 开 甩 调试 信息 


(3) 安全 相关 参数 
这 些 参 数 主要 用 于 指定 通信 时 候 的 TLS 证 书 、 密 钥 配 置 ， 参 见 表 22- 


表 22-3 
参数 
--cert-file '' 
--key-file '' 
--client-cert-auth 'false' 
--trusted-ca-file ' ' 
--peer-cert-file ' ' 


--peer-key-file ' ' 


--peer-client-cert-auth 'false' 


--peer-trusted-ca-file ' ' 


(4) 代理 参数 


Etcd 安 全 相关 参数 


说 朋 

客户 端 通信 时 TLS 证 书 文件 路 和 
客户 讲 通 信 时 TLS 密 钥 文件 路 和 
ETA AP a AEBN 

客户 喘 通 仿 时 信任 的 CA 文件 

对 等 成 员 节点 的 TLS 证 书 文件 
对 等 成 员 节点 的 TLS 密 钥 文件 
是 否 启 用 对 等 成 员 节点 客户 冉 认 证 
对 等 成 员 节点 的 信任 CA 文件 路 径 


这 些 参数 主要 是 当 Etcd 服 务 目 身 仅 作 为 代理 模式 时 候 使 用 ， 即 转发 
来 自 客 户 端的 请 求 到 指定 的 Etcd 集 群 。 此 时 ，Etcd 服 务 本 号 并 不 参与 集 
群 中 去 ， 不 保存 数据 和 参加 选举 。 其 中 的 参数 参见 表 22-4。 


表 22-4 ”Etcd 代 理 参 数 


参 数 
--proxy ‘off! 
--proxy-failure-wait 5000 
--proxy-refresh-interval 30000 
--proxy-dial-timeout 1000 
--proxy-read-timeout 0 


--proxy-write-timeout 5000 


说 明 
是 个 开启 代理 模式 ， 可 以 为 0 全 (默认 值 和 readonly 或 者 on 
失败 等待 时 间 ， 单 位 为 训 秒 
PAMAREM, PEED 
发 起 连接 的 超时 ， 单 位 为 毫 和 
污 请 求 的 超时 时 间 ， 单 位 为 这 和 
写 请 求 的 超时 时 间 ， 单 位 为 毫秒 


22.3 ”使 用 etcdct 客 户 端 


etcdct 生 Etcd 忆 官方 提供 的 命令 行 客 户 端 ， 它 支持 一 些 基 于 HTTP API 
封装 好 的 命令 ， 供 用 户 直 接 跟 Etcd 服 务 打交道 ， 而 无 需 基 于 HTTP API 的 
方式 。 当 然 ， 这 些 命令 跟 HTTP _ API 实际 上 是 对 应 的 ， 最 终 效 果 上 并 无 
不 同 之 处 。 

某 些 场景 下 使 用 etcdct 将 十 分 方便 。 例 如 用 户 需 a 
aaa sh T hae 也 推荐 在 刚 接触 Etcd 时 通 
etcdctl 命 令 来 熟悉 Etcd 支 持 的 相关 功能 


Etcd 项 目 二 进 制 发 行 包 中 己 经 包含 了 etcdctl 工 具 ， 没 有 的 话 ， 可 以 
从 github.com/coreos/etcd/releases 手 动 下 载 。 


etcdctl 的 命令 格式 为 : 





$ etcdct1 [全 局 选项 ] 命 令 [命令 选项 ] [命令 参数 ] 





全 局 选项 参数 见 表 22-5。 
表 22-5 ”etcdctl 的 命令 全 局 选项 参数 


--debug 
--no-sync 
--output, -0 'simple' 


--discovery-srv, -D 


说 朋 
输出 调试 信息 ， 显 示 执 行 信 令 的 时 候 发 起 的 请 求 
发 出 请 求 前 不 主动 同步 集群 信息 
输出 响应 消息 的 格式 ， 可 以 为 simple ，json 或 extended 
通过 域名 查询 来 探测 集群 成 员 信息 


--peers, -C 集群 中 成 员 地 址 列表 ， 用 逗号 陋 开 

--endpoint 集 烙 中 成 员 地 址 列表 

--cert-file MRRP HTTPS 认证 ， 提 供 TLS IER 
--key-file HTTPS 认证 的 证 书 文件 路 多 

--ca-file 域名 相关 的 根 证 书 文件 路 径 

--username, -u username|[:password] | 用 户 名 和 密码 验证 信息 

--timeout '1s' 请 求 的 连接 超时 ， 默 认为 1s 

--total-timeout '5s! 命令 执行 总 超时 ， 默 认为 5 

--help, -h 显示 帮助 命令 信息 

--yersion, -V 打印 版 本 信息 


支持 的 命令 大 体 上 分 为 数据 类 操作 和 非 数 据 类 操作 两 类 。 


Etcd 作 为 一 个 分 布 式 数据 库 ， 类 似 ZooKeeper 采 用 了 类 似 文 件 目录 
WIZE, AHR BE ESE AZ KATNE ( 即 某 个 键 ) 或 目录 进行 。 大 家 可 
以 对 比 Linux 的 文件 和 目录 操作 命令 ， 会 发 现 两 者 之 间 的 相似 性 。 非 数 
据 类 操作 主要 是 Etcd 提 供 的 系统 配置 、 权 限 管理 等 。 参 见 表 22-6 和 表 22- 
To 


数据 类 操作 命令 见 表 22-6， 非 数据 类 操作 见 表 22-7。 
表 22-6 ”Etcd 数 据 类 操作 命令 


Watch 
exec-watch 
ls 
mkdir 
rmdir 
setdir 
updatedir 
表 22-7 Etcd 非 数据 类 


说 朋 

PEER tN 

区 到 其 键 对 应 的 值 

更 新 基 键 对 应 的 值 
创建 新 的 刍 值 

制 除 刍 值 或 目录 
监控 蘑 刍 值 的 变化 

某 刍 什 变化 时 执行 指定 全 人 
列 出 目录 下 内 容 
创建 新 的 目录 

删除 空 目录 或 者 一 个 刍 什 
创建 目录 (允许 目录 已 存在 ) 
更 新 已 存在 的 目录 
操作 命令 


m 全 说 明 


backup 各 份 指定 的 目录 

cluster-health 检查 etod 集群 健康 状况 

member TRIN, AMD SA wt ee ELIA a 
import FARE 

user 用 户 添加 、 权 限 管理 ,需要 党 具体 子 价 令 
role 角色 添加 、 权 限 管理 ， 需 要 带 具 体 子 命令 
auth 全 局 认证 管理 

help, h 打印 售 令 矿 助 信息 


下 面 分 别 来 看 下 各 个 操作 的 主要 用 法 和 功能 。 
22.3.1 数据 类 操作 


数据 类 操作 围绕 对 键 值 和 目录 的 CRUD (符合 REST 风 格 的 一 套 操 
作 : Create) 完整 生命 周期 的 管理 。 


Etcd 在 键 的 组 织 上 采用 了 层次 化 的 空间 结构 (类 似 于 文件 系统 中 目 
录 的 概念 ) ， 用 户 指 定 的 键 可 以 为 单独 的 名 字 ， 如 testkey， 此 时 实际 上 
放 在 根 目录 /下 和 面 ， 也 可 以 为 指定 目录 结构 ， 如 clusterl/node2/testkey， 
则 将 创建 相应 的 目录 结构 。 








提示 


CRUD 即 Create、Read、Update、Delete， 是 符合 REST 风 格 的 一 套 
API 操 作 规范 。 


1.set 


设置 茶 个 键 的 值 为 给 定 值 。 例 如 : 





$ etcdctl set /testdir/testkey "Hello world" 
Hello world 





支持 的 选项 包括 : 


a ee eee 
fa Fh 


---swap-with-value ”value。 若 该 键 现在 的 值 是 value， 则 进行 设置 操 
作 








--Swap-with-index'0'。 知 该 键 现在 的 索引 值 是 指定 索引 ， 则 进行 设 
置 操作 





注意 

-- 世 选项 十 分 有 用 。 在 分 布 式 环境 中 ， 系 统 往往 是 不 可 靠 的 ， 在 基 
于 Etcd 设 计 分 布 式 锁 的 时 候 ， 可 以 通过 超时 时 间 避 免 出 现 发 生死 锁 的 情 
ILo 

2.get 


获取 指定 键 的 值 。 例 如 : 





$ etcdctl set testkey hello 


hel 
$ etcdctl update testkey world 
orld 





当 键 不 存在 时 ， 则 会 报错 。 例 如 : 





$ etcdctl get testkey2 
Error: 100: Key not found (/testkey2) [1] 








对 返回 结果 进行 排序 。 
3.update 
当 键 存在 时 ， 更 新 值 内 容 。 例 如 : 





$ etcdctl set testkey hello 

hello 

A etcdctl update testkey world 
rld 





当 键 不 存在 时 ， 则 会 报错 。 例 如 : 





$ etcdctl update testkey2 wo 
Error: 100: Key not found ees [1] 





文 持 的 选项 为 --tt10'"， 超 时 时 间 (单位 为 秒 〉， 不 配置 (默认 为 0) 
则 永 不 超时 。 


4.mk 


如 琳 给 定 的 键 不 存在 ， 则 创建 一 个 新 的 键 值 。 例 如 : 





$ etcdctl mk /testdir/testkey "Hello world" 
Hello world 





当 键 存在 的 时 候 ， 执 行 该 命令 会 报错 ， 例 如 : 





$ etcdctl set testkey "Hello world" 

Hello world 

$ ./etcdctl mk testkey ' worl 

Error: 105: Key already exists es tkey) [2] 





文 持 的 选项 为 --tt10'"， 超 时 时 间 (单位 为 秒 〉， 不 配置 (默认 为 0) 
则 永 不 超时 。 


5.rm 


删除 某 个 键 值 。 例 如 : 





$ etcdctl rm testkey 





当 键 不 存在 时 ， 则 会 报错 。 例 如 : 





$ etcdctl rm testkey2 
Error: 100: Key not found (/testkey2) [8] 











支持 的 选项 为 : 
--dir 一 一 如 果 键 是 个 空 目 录 或 者 是 键 值 对 则 删除 ; 
--recursive 删除 目录 和 所 有 子 键 ; 


--With-value 一 一 检查 现 有 的 值 是 否 罗 配 ; 
--with-index'0' ”检查 现 有 的 ipdex 是 否 匹 配 。 
6.watch 


监测 一 个 键 值 的 变化 ， 一 旦 键 值 发 生 更 新 ， 就 会 输出 最 新 的 值 并 退 


例如 ， 用 户 更 新 testkey 键 值 为 Hello world. 





$ etcdctl watch testkey 
Hello world 


文 持 的 选项 包括 : 


--forever 一 直 监 测 ， 直 到 用 户 按 `CTRL+C ` 退 出; 





--after-index'0' 一 一 在 指定 index 之 前 一 直 监 测 ; 


返回 所 有 的 键 值 和 子 键 值 。 


--recursive 





7.exec-watch 


监测 一 个 键 值 的 变化 ， 一 旦 键 值 发 生 更 新 ， 就 执行 给 定 命令 。 这 个 
功能 十 分 强大 ， 很 多 时 候 可 以 用 于 实时 根据 键 值 更 新 本 地 服务 的 配置 信 
电 ， 并 重新 加 载 服务 。 可 以 实现 分 布 式 应 用 配置 的 目 动 分 发 。 
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例如 ， 一 旦 检测 到 testkey 键 值 被 更 新 ， 则 执行 ls 命令 。 





$ etcdctl exec-watch testkey -- sh -c 'ls' 
default .etcd 


dctl 
etcd-migrate 
README -etcdct1.md 
README .md 





支持 的 选项 包括 : 

--after-index'0' 一 一 在 指定 index 之 前 一 直 监 测 ; 
--recursive 一 一 返回 所 有 的 键 值 和 子 键 值 。 

8.ls 


StH Ase GRU AIR A Se) 下 的 键 或 者 子 目 录 ， 默 认 不 显示 子 目 录 
中 内 容 。 例 如 : 








$ ./etcdctl set testkey 'hi' 

i 

$ ./etcdctl set dir/test 'hello' 
hello 


$ ./etcdctl 1s 
/testkey 
/dir 


pi 
$ ./etcdctl 1s dir 
/dir/test 





支持 的 选项 包括 : 

将 输出 结果 排序 

--recursive 一 一 如 朵 目录 下 有 子 目 录 ， 则 递归 输出 其 中 的 内 容 
对 于 输出 为 目录 ， 在 最 后 添加 /进行 区 分 


*--SOrt 














-Pp 
9.mkdir 
如 果 给 定 的 键 目录 不 存在 ， 则 创建 一 个 新 的 键 目录 。 例 如 : 





$ etcdctl mkdir testdir 








当 键 目录 存在 的 时 候 ， 执 行 该 命令 会 报错 ， 例 如 : 





$ etcdctl mkdir testdi i 
$ etcdctl mkdir testdi 
Error: 105: Key ay exists (/testdir) [7] 





文 持 的 选项 为 --tt10'"， 超 时 时 间 (单位 为 秒 〉， 不 配置 (默认 为 0) 
则 永 不 超时 。 


10.rmdir 


删除 一 个 空 目 录 ， 或 者 键 值 对 。 知 目录 不 空 ， 会 报错 ， 例 如 : 





ei etcdctl set /dir/testkey hi 


5 etcdctl rmdir /dir 
Error: 108: Directory not empty (/dir) [13] 





11.setdir 


创建 一 个 键 目录 ， 无 论 存在 与 否 。 实 际 上 ， 上 有 目前 版 本 当 目 录 已 经 存 
在 的 时 候 会 报错 。 例 如 : 











$ etcdctl setdi Bits t 
$ et ea ctl ls 


/te 
/tes ee 





支持 的 选项 为 --tt10'"， 超 时 时 间 (单位 为 秒 〉， 不 配置 (默认 为 0) 
则 永 不 超时 。 


12.updatedir 
更 新 一 个 已 经 存在 的 目录 的 属性 (目前 只 有 存活 时 间 〉 ， 例 如 : 





$ etcdctl mkdir /test/test --ttl 1 
$ etcdctl updatedir /test/test - are 200 





文 持 的 选项 为 --t10， 存 活 时 间 (单位 为 秒 〉， 不 配置 (默认 为 0) 
则 永 不 超时 。 


22.3.2” 非 数据 类 操作 


而 是 负责 围绕 集群 目 时 
一 些 配 o 





1.backup 

备份 Etcd 的 配置 状态 数据 目录 。 

支持 的 选项 包括 : 

-data-dir 一 一 要 进行 备份 的 Etcd 的 数据 存放 目录 ; 
-backup-dir 一 一 备份 数据 到 指定 路 径 。 





例如 ， 备 份 默认 配置 的 信息 到 当前 路 径 下 的 tmp 子 目录 : 





$ etcdctl backup --data-dir default.etcd --backup-dir tmp 





可 以 查看 tmp 目 录 下 面 多 了 一 个 member 目 录 : 


$ ls tmp/member 
snap wal 





其 中 ，snap 为 快照 目录 ， 保 存 节 所 状态 快照 文件 《注意 这 些 快 照 文 
件 定期 生成 ) ;wal 保 存 了 数据 库 预 写 日 志 信 息 。 


LS 


VY A 
VE Teh 


预 写 日 志 要 求 数据 库 在 发 生 实 际 提交 前 必须 先 将 操作 写 入 日 志 ， 可 
以 保障 系统 在 崩 尝 后 根据 日 志 回 复 状态 。 











2.cluster-health 


查看 Etcd 集 群 的 健康 状态 。 例 如 : 


$ etcdctl cluster-health 


member ce2a822cea30bfca is healthy: got healthy result from http://localhost:2379 
cluster is healthy 





支持 的 选项 包括 --forever， 每 隔 10 秒 钟 检 查 一 次 ， 直 到 手动 终止 
(通过 Ctrl+C 命 令 ) 。 


3.member 


通过 list、add、remove 等 子 命令 列 出 、 添 加 、 删 除 Etcd 实 例 到 Etcd 
集群 中 。 


例如 本 地 局 动 一 个 Etcd 服 务实 例 后 ， 可 以 用 如 下 命令 进行 得 看 默认 
的 实例 成 员 : 





$ etcdctl member list 
ce2a822cea30bfca: name=default peerURLs=http://localhost:2380,http://localhost: 
7001 clientURLs=http://localhost:2379, http://localhost : 4001 





4.import 

导入 旧版 本 (v0.4.*) 的 快照 文件 到 系统 。 
支持 的 选项 包括 : 

快照 文件 路 径 ; 





'--Snap 





---hidden'--hidden option--hidden option 一 一 隐藏 导入 的 键 值 空间 信 


JOU $5 


-CT10 一 一 并 发 导入 的 客户 端 数 。 
例如 ， 导 入 通过 backup 命 令 导 出 的 快照 文件 : 





$ etcdctl import --snap tmp/member/snap/0000000000000003 -0000000000061aa8. snap 

starting to import black tmp/member /snap/0000000000000003 - 0000000000061aa8. 
snap with 10 clien 

entering dir: / 

copying key: /key 

finished importing a keys 





5.user 


对 用 户 进行 管理 ， 包 括 一 系列 子 命令 : 


添加 一 个 用 户 ; 
"get 一 一 查询 用 户 细节 ; 


“add 














list 一 一 列 出 所 有 用 户 ; 
Temove 一 一 删除 用 户 ， 

-grant 一 一 添加 用 户 到 角色 ; 
Tevoke 一 一 删除 用 户 角 色 ; 
-passwd 一 -一 修改 用 户 的 密码 。 





默认 情况 下 ， 需 要 先 创建 〈 局 用 ) root 用 户 作 为 etcd 集 群 的 最 高 权 
限 管理 员 : 





$ etcdctl user add root 
New password: 





创建 一 个 testuser 用 户 ， 会 提示 输入 密码 : 





$ etcdctl user add testuser 
New password: 





分 配 茶 些 已 有 角色 给 用 户 : 





$ etcdctl user grant testuser -roles testrole 





6.role 
对 用 户 角色 进行 管理 ， 包 括 一 系列 子 命令 : 
add 一 一 添加 一 个 角色 ; 

get 一 一 查询 角色 细节 ; 

列 出 所 有 用 户 角 色 ; 





list 





remove 一 一 和 市 除 用 户 角 色 ; 
添加 路 径 到 角色 控制 ， 可 以 为 read、write 或 者 readwrite; 
revoke -一 删除 某 路 径 的 用 户 角色 信息 。 


默认 带 有 root、guest 两 种 角色 ， 前 者 为 全 局 最 高 权限 ， 后 者 为 不 带 
验证 情况 下 的 用 户 。 


例如 : 


grant 








$ etcdctl role add testrole 
$ etcdctl role grant testrole -path '/key/*' -read 





7.auth 
是 否 启 用 访问 验证 。enable 为 启用 ，disable 为 禁用 。 
例如 ， 在 root 用 户 创建 后 ， 启 用 认证 : 





$ etcdctl auth enable 





22.4 ”Etcd 和 集群 管理 


Etcd 的 集群 也 采用 了 典型 的 “ 主 - 从 ”模型 ， 通 过 Raft 协 议 来 保证 在 一 
段 时 间 内 有 一 个 节操 为 主 节操 ， 其 他 节点 为 从 节点 。 一 旦 当主 市 反 发 生 
故障 ， 其 他 节点 可 以 自动 再 重新 选举 出 新 的 主 节 点 。 


跟 其 他 分 布 式 系统 类似 ， 集 群 中 节点 个 数 推荐 为 奇数 个 ， 最 少 为 3 


个 〈 此 时 quorum 为 2) ， 越 多 市 点 个 数目 然 能 提供 更 多 的 元 余 性 ， 但 同 
时 会 带 来 写 数 据 性 能 的 下 降 。 


注意 


在 分 布 式 系统 中 一 个 很 重要 的 概念 为 quorum， 意 味 着 一 个 集群 正常 
工作 需要 能 参加 投票 的 节点 个 数 的 最 小 值 ， 一 般 为 集群 大 小 的 一 半 再 加 





22.4.1 构建 集群 


构建 集群 无 非 是 让 节点 们 知道 目 己 加 入 了 哪个 集群 ， 其 他 对 等 节操 
的 访问 信息 是 什么 。 


Etcd 文 持 两 种 模式 来 构建 集群 : 静态 配置 和 动态 探测 。 

1. 静 态 配 置 集群 信息 

顾名思义 ， 静 态 配置 就 是 提取 写 好 集群 中 的 有 关 信 息 。 

例如 ， 假 设 我 们 想 要 用 三 个 节点 来 构建 一 个 集群 ， 地 址 分 别 为 : 














i A 地 址 
Nodel 10.0.0.1 
Node2 10.0.0.2 
Node3 10.0.0.3 

















首先 在 各 个 节点 上 将 地 址 和 别名 信息 添加 到 /etchosts: 
-10.0.0.1 Node1 
-10.0.0.2 Node2 
-10.0.0.3 Node3 


可 以 通过 如 下 命令 来 启动 各 个 节点 上 的 etcd 服 务 ， 分 别 命 名 为 n1、 
n2#lln3. 


节点 1 上 ， 执 行 : 





$ etcd --name n1 \ 
--initial-cluster-token cluster1 \ 
--initial-cluster-state new \ 
--listen-client-urls http://Node1:2379,http://localhost:2379 \ 
--listen-peer-urls http://Node1:2380 \ 
--advertise-client-urls http://Node1:2379 \ 
--initial-advertise-peer-urls http://Node1:2380 \ 
--initial-cluster ni=http://Node1: 2380, n2=http://Node2: 2380, n3=http: //Node3: 2380 





节点 2 上 ， 执 行 : 





$ etcd --name n2 \ 
--initial-cluster-token cluster1 \ 
--initial-cluster-state new \ 
--listen-client-urls http://Node2:2379,http://localhost:2379 \ 
--listen-peer-urls http://Node2:2380 \ 
--advertise-client-urls http://Node2:2379 \ 
--initial-advertise-peer-urls http://Node2:2380 \ 
--initial-cluster ni=http://Node1:2380,n2=http://Node2: 2380, n3=http: //Node3: 2380 





节点 3 上 ， 执 行 : 





$ etcd --name n3 \ 
--initial-cluster-token cluster1 \ 
--initial-cluster-state new \ 
--listen-client-urls http://Node3:2379,http://localhost:2379 \ 
--listen-peer-urls http://Node3:2380 \ 


-advertise-client-urls http://Node3:2379 \ 
-initial-advertise-peer-urls http://Node3:2380 
-initial-cluster ni=http://Node1:2380,n2=http: oe 2380,n3=http://Node3:2380 





成 功 后 ， 可 以 在 任 一 节点 上 通过 etcdctl 来 查看 当前 集群 中 的 成 员 信 





$ etcdctl member list 228428dce5a59f3b: name=n3 peerURLs=http://Node3: 2380 
clientURLs=http://Node3: 2379 

5051932762b33d8e: name=n1 peerURLs=http://Node1:2380 clientURLs=http://Node1: 2379 

8ee612d82821a4e7: name=n2 peerURLs=http://Node2:2380 clientURLs=http://Node2:2379 





2. 动 态 发 现 


静态 配置 的 方法 虽然 简单 ， 但 是 如 果 节 点 信息 需要 变动 的 时 候 ， 就 
需要 手动 进行 修改 。 


很 自然， 可 以 通过 动态 发 现 的 方法 ， 让 集群 目 动 更 新 节点 信息 。 要 
实现 动态 发 现 ， 首 先 需要 一 套 文 持 动 态 发 现 的 服务 。 


CoreOS 提 供 了 一 个 公开 的 Etcd 发 现 服务 ， 地 址 
在 https:/discovery.etcd.io。 使 用 该 服务 的 步骤 也 十 分 简单 。 


首先 ， 为 要 创建 的 集群 申请 一 个 独一无二 的 uuid， 需 要 提供 的 唯一 
参数 为 集群 中 市 点 的 个 数 : 











$ curl https://discovery.etcd.io/new?size=3 
https://discovery.etcd.io/7f66dc8d468a1c940969a8c329ee329a 





REHE, M AST SCL AS ALAR — FC A SE 2 a 
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节点 1 上 ， 执 行 : 





$ etcd --name n1 \ 
--initial-cluster-token cluster1 \ 
--initial-cluster-state new \ 
--listen-client-urls http://Node1:2379,http://localhost:2379 \ 
--listen-peer-urls http://Node1:2380 \ 
--advertise-client-urls http://Node1:2379 \ 
--initial-advertise-peer-urls http://Node1:2380 \ 
--discovery https://discovery.etcd.io/7f66dc8d468a1c940969a8c329ee329a 





节点 2 上 ， 执 行 : 





$ etcd --name n2 \ 
--initial-cluster-token cluster1 \ 
--initial-cluster-state new \ 
--listen-client-urls http://Node2:2379,http://localhost:2379 \ 
--listen-peer-urls http://Node2:2380 \ 
--advertise-client-urls http://Node2:2379 \ 
--initial-advertise-peer-urls http://Node2:2380 \ 
--discovery https://discovery.etcd.io/7f66dc8d468a1c940969a8c329ee329a 





节点 3 上 ， 执 行 : 





$ etcd --name n3 \ 
--initial-cluster-token cluster1 \ 
--initial-cluster-state new \ 
--listen-client-urls http://Node3:2379,http://localhost:2379 \ 
--listen-peer-urls http://Node3:2380 \ 
--advertise-client-urls http://Node3:2379 \ 
--initial-advertise-peer-urls http://Node3:2380 \ 
--discovery https://discovery.etcd.io/7f66dc8d468a1c940969a8c329ee329a 








当然 ， 用 户 也 可 以 配置 私有 的 服务 。 

另外 一 种 实现 动态 有 发现 的 机 制 是 通过 DNS 域名 ， 即 为 每 个 节点 指定 
同一 个 子 域 的 域名 ， 然 后 通过 域名 发 现 来 自动 注册 。 例 如 ， 三 个 市 后 的 
域名 分 别 为 : 

‘nl.mycluster.com 


‘n2.mycluster.com 


‘n3.mycluster.com 


则 局 动 参数 中 的 集群 节点 列表 信息 可 以 蔡 换 为 -discovery-srv 


mycluster.com o 


22.4.2 ”集群 参数 配置 


影响 集群 性 能 的 因 系 可 能 有 很 多 ， 包 括 时 间 同 步 、 网 络 拌 动 、 存 储 
压力 、 读 写 压 力 等 ， 需 要 通过 优化 配置 尽量 减少 这 些 因素 的 影响 。 


1. 时 钟 同步 


对 于 分 布 式 集群 来 说 ， 各 个 节点 上 的 同步 时 钟 十 分 重要 ，Etcd 集 群 
需要 各 个 节点 时 钟 差异 不 超过 1s， 否 则 可 能 会 导致 Raft 协 议 的 异常 。 





因此 ， 各 个 节点 要 局 动 同 步 时 钟 协议 。 以 Ubuntu 系统 为 例 : 





$ sudo aptitude install ntp 
$ sudo service ntp restart 





用 户 也 可 以 修改 /etcmntp.conf 文 件 ， 来 指定 ntp 服 务 器 地 址 ， 建 议 多 
个 节点 采用 统一 的 配置 。 


2. 心 跳 消 轧 时 间 间 隔 和 选举 时 间 间 隔 


对 于 Etcd 集 群 来 说 ， 有 两 个 因素 十 分 重要 : 心跳 消息 时 间 间 隔 和 选 
举 时 间 间 隔 。 前 者 意味 着 主 节点 每 隔 多 久 来 通过 心跳 消息 来 通知 从 节点 
自身 的 存活 状态 ;， 后 者 意味 着 从 节点 多 久 没 收 到 心跳 通知 后 可 以 尝试 发 
起 选举 目 身 为 主 节点 。 显 然 ， 后 者 要 比 前 者 大 ， 一 般 建议 设 为 前 者 的 5 
倍 以 上 。 时 间 越 短 ， 发 生 故 障 后 恢复 越 快 ， 但 心跳 信息 占用 的 计算 和 网 
络 资源 也 越 多 。 

默认 情况 下 ， 心 跳 消息 间隔 为 100ms。 选 举 时 间 间 隔 为 ls (上限 为 
50s， 但 完全 没 必要 这 么 长 ) 。 这 个 配置 在 本 地 局 域 网 环境 下 是 比较 合 
aH, 但 是 对 于 跨 网 段 的 情况 ， 需 要 根据 节点 之 间 的 RTT 适 当 进 行 调 


aE 























例如 ， 一 般 情 况 下 ， 跨 数据 中 心 的 集群 可 以 配置 为 : 





$ etcd -heartbeat-interval=200 -election-timeout=2000 





也 可 通过 环境 变量 指定 : 





$ ETCD_HEARTBEAT_INTERVAL=100 ETCD_ELECTION_TIMEOUT=500 etcd 





对 于 路 地 域 的 网 络 〈“ 例 如 中 美 之 间 的 数据 中 心 RTI 往 往 在 数 百 
ms) ， 还 可 以 适当 延长 。 


3.snapshot 频 率 


Etcd 会 定期 地 将 数据 的 修改 存储 为 snapshot， 默 认 情 况 下 每 10000 次 
a a 
Etcd 的 性 能 。 


建议 将 这 个 值 调 整 的 小 一 些 ， 例 如 每 2000 个 修改 就 做 一 次 
snapshot。 











ETCD_SNAPSHOT_COUNT=2000 etcd 


AME BCT KA 


无 论 是 添加 、 删 除 还 是 迁移 节点 ， 都 要 一 个 一 个 的 进行 ， 并 且 确 保 
先 修改 配置 信息 《包括 节点 广播 的 监听 地 址 、 集 群 中 布点 列表 等 ) ， 然 
后 再 进行 操作 。 


例如 要 删除 多 个 节点 ， 当 有 主 节 点 要 被 删除 时 ， 需 要 先 删 掉 一 个 ， 
等 集群 中 状态 稳定 《新 的 主 节 点 重新 生成 ) 后 ， 再 删除 另外 节点 。 


要 迁移 或 丛 换 市 点 的 时 候 ， 先 将 节操 从 集群 中 删除 控 ， 等 集群 状态 
重新 稳定 后 ， 再 添加 上 新 的 节点 。 当 然 ， 使 用 旧 布 点 的 数据 目录 文件 会 
| 


5. 节 点 恢复 
Etcd 集 群 中 的 节点 会 通过 数据 目录 来 存放 修改 信息 和 集群 配置 。 


一 般 来 说 ， 当 某 个 节点 出 现 故障 时 候 ， 本 地 数据 已 经 过 期 甚至 格式 
人 破坏。 如 果 只 是 简单 的 重 局 进程 ， 容 易 造 成 数据 的 不 一 致 。 


这 个 时 候 ， 保 险 的 做 法 是 先 通过 命令 (例如 etcdctl member 
rm[member] ) 来 删除 该 节点 ， 然 后 清空 数据 目录 ， 再 重新 作为 空 节 点 加 
Nae 











Etcd 提 供 了 -strict-reconfig-check 选 项 ， 确 保 当 集群 状态 不 稳定 时 候 
(例如 启动 节点 数 还 不 够 达到 quorum) 拒绝 对 配置 状态 的 修改 。 


6. 重 启 集群 
极端 情况 下 ， 集 群 中 大 部 分 节点 都 出 现 问题 ， 需 要 重启 整个 集群 。 
这 个 时 候 ， 最 保险 的 办 法 是 找到 一 个 数据 记录 完整 旦 比较 新 的 节 


扩 ， 先 以 它 为 唯一 节点 创建 新 的 集群 ， 然 后 将 其 他 市 点 一 个 一 个 地 添加 
进来 ， 添 加 过 程 中 注意 保证 集群 的 稳定 性 。 














22.5 ”本 章 小 结 


本 章 我 们 介绍 了 强大 的 分 布 式 键 值 数据 库 实现 Etcd， 包 括 如 何 利用 
它 进行 读 写 数据 等 操作 ， 以 及 Etcd 集 群 管理 的 一 些 要 点 。Etcd 提 供 了 很 
多 有 用 的 功能 ， 包 括 数据 监听 、 定 期 快照 等 。 


通过 实践 案例 ， 可 以 看 出 Etcd 的 功能 十 分 类 似 ZooKeeper， 但 作为 
后 起 之 秀 ， 它 在 REST 接 口 文 持 、 访 问 权 限 管 理 、 大 量 数据 存储 方面 表 
现 更 为 优秀 。 同 时 ， 提 供 了 多 种 语言 〈 目 前 包括 Python、Go、Java 等 ) 
实现 的 客户 端 文 持 。 基 于 Etcd， 用 户 可 以 很 容易 地 实现 集群 中 的 配置 管 
理 和 服务 发 现 等 复杂 功能 ， 类 似 项 目 还 包括 Consul 等 。 


第 23 章 ”Docker 三 剑客 之 Docker Machine 


Docker Machine 是 Docker 官 方 三 剑客 项 目 之 一 ， 负 责 使 用 Docker 的 
第 一 步 ， 在 多 种 平台 上 快速 安装 Docker 环 境 。 它 支持 多 种 平台 ， 让 用 户 
可 以 在 很 短 时 间 内 搭建 一 套 Docker 主 机 集群 。 


本 章 将 介绍 Docker ”Machine 项 目的 具体 情况 ， 以 及 安装 和 使 用 命 
人 
X o 


23.1 TI 


Machine 项 目 是 Docker 官 方 的 开源 项 目 ， 负 责 实 现 对 Docker 主 机 本 
身 进行 管理 ， 其 代码 在 https://github.com/docker/machine 上 开源 。 





Machine 项 目 主要 由 Go 编写 ， 用 户 可 以 在 本 地 任意 指定 被 Machine 
管理 的 Docker 主 机 ， 并 对 其 进行 操作 。Machine 定 位 是 “在 本 地 或 者 云 环 
境 中 创建 Docker 主 机 (Create Docker hosts on your computer, on cloud 
providers, and inside your own data center.) ”。 


其 基本 功能 包括 : 
.在 指定 节点 上 安装 Docker 引 擎 ， 配 置 其 为 Docker 主 机 ; 
-集中 管理 所 有 Docker 主 机 。 


Machine 连 接 不 同类 型 的 节点 是 通过 不 同 驱 动 指定 的 ， 目 前 已 经 文 
持 了 包括 IBM、Amazon、Google 等 多 家 数据 中 心 的 云 主机 。 




















23.2 ”安装 Machine 


Docker Machine 可 以 在 多 种 操作 系统 平台 上 安装 ， 包 括 Linux、Mac 
OS 以 及 Windows。 


1.Linux 平 台 上 的 安装 
在 Linux 平 台 上 的 安装 十 分 简单 ， 推 荐 从 官方 Release 库 
(https://github.com/docker/machine/releases) 直接 下 载 编译 好 的 二 进 制 
文件 即 可 。 


例如 ， 在 Linux 64 位 系统 上 直接 下 载 对 应 的 二 进 制 包 ， 以 最 新 的 
0.8.0 为 例 。 











$ curl -L https://github.com/docker/machine/releases/download/v0.8.0/docker - 
machine_linux-amd64.zip >machine.zip && \ 
unzip machine.zip && \ 
rm machine.zip && \ 
sudo mv -f docker-machine* /usr/local/bin 
$ sudo chmod +x /usr/local/bin/docker -machine* 





查看 实际 上 安装 的 二 进 制 命令 : 





$ls /usr/local/bin/docker-machine* 
/usr/local/bin/docker -machine 
/usr/local/bin/docker -machine-driver -google 
/usr/local/bin/docker -machine-driver-virtualbox 
/usr/local/bin/docker -machine-driver-amazonec2 
/usr/local/bin/docker -machine-driver -hyperv 
/usr/local/bin/docker -machine-driver-vmwarefusion 
/usr/local/bin/docker -machine-driver-azure 
/usr/local/bin/docker -machine- driver -none 
/usr/local/bin/docker -machine- driver -vmwarevcloudair 
/usr/local/bin/docker -machine-driver -digitalocean 
/usr/local/bin/docker -machine-driver -openstack 
/usr/local/bin/docker -machine-driver -vmwarevsphere 
/usr/local/bin/docker -machine-driver-exoscale 
/usr/local/bin/docker -machine-driver -rackspace 
/usr/local/bin/docker -machine-driver -generic 
/usr/local/bin/docker -machine-driver -softlayer 





可 以 看 到 ， 主 要 包括 docker-machine 主 命令 ， 和 一 系列 的 驱动 ， 这 
些 驱 动 支持 Docker Machine 命 令 在 这 些 平 台 上 执行 。 


安 闭 完 成 后 ， 碍 看 版 本 信息 ， 验 证 运行 正常 : 





$ $docker-machine -V 
docker-machine version 0.8.0 (5ab2ale) 





2.Mac OS 系统 上 的 安装 


Mac OS 平台 上 的 安装 跟 Linux 平 台 十 分 类 似 ， 唯 一 不 同 是 下 载 二 进 
制 文 件 的 路 径 不 同 。 


例如 ， 同 样 是 0.8.0 版 本 ，Mac OS 平台 对 应 的 路 径 
为 https://github.com/docker/machine/releases/download/v0.8.0/docker- 
machine darwin-amd64.zip。 


3.Windows 系 统 上 的 安装 
Windows 下 面 要 复杂 一 些 ， 首 先 需 要 安装 git-bash。git-bash 是 


Windows 下 的 git 客 户 端 软件 包 ， 会 提供 类 似 Linux 下 的 一 些 基 本 工具 ， 
例如 bash、curl、ssh 命 令 等 ， 最 新 版 本 为 2.6.3。 


安装 之 后 ， 启 动 一 个 git-bash 的 命令 行 界面 ， 仍 然 通 过 下 载 二 进 制 
包 方 式 安装 Docker Machine: 








$ if [[ ! -d "$HOME/bin" ]]; then mkdir -p "$HOME/bin"; fi && \ 
curl -L https://github.com/docker/machine/releases/download/v0.8.0/docker - 
machine_windows-amd64.zip >machine.zip && \ 
unzip machine.zip && \ 
rm machine.zip && \ 
mv -f docker-machine* "$HOME/bin" 





23.3 ”使 用 Machine 


Docker ”Machine 通 过 多 种 后 端 驱 动 来 管理 不 同 的 资源 ， 包 括 虚 拟 
机 、 本 地 主机 和 云 平 台 等 。 


通过 -d 选 项 可 以 选择 支持 的 驱动 类 型 。 
1. 虚 拟 化 平台 


可 以 通过 virtualbox 驱 动 支持 本 地 (需要 已 安装 virtualbox)〉 启动 一 
个 虚拟 机 并 配置 为 Docker 主 机 : 





$ docker-machine create --driver=virtualbox vbox-instance 





将 局 动 一 个 全 新 的 虚拟 机 ， 并 安装 Docker 引 擎 。 
此 外 ， 还 支持 Microsoft Hyper-V 虚 拟 化 平台 
2. 本 地 主机 


这 种 驱动 适合 主机 操作 系统 和 SSH 服 务 都 已 经 安装 好 ， 需 要 对 其 安 
装 Docker 引 擎 。 


首先 确保 本 地 主机 可 以 通过 user 账 号 的 key 直 接 通过 ssh 连 到 目标 主 
机 。 使 用 generic 类 型 的 驱动 ， 注 册 一 台 Docker 主 机 ， 命 名 为 test: 








$ docker-machine create -d generic --generic-ip-address=10.0.100.102 --generic- 
ssh-user=user test 

Running pre-create checks. 

Creating machine. 

(test) OUT | Importing SSH key... 

Waiting for machine to be running, this may take a few minutes... 

Machine is running, waiting for SSH to be available... 

Detecting operating system of created instance. 

Detecting the provisioner. 

Provisioning created instance. 





从 命 eue Machine 通 连接 到 指定 节点 ， 并 在 
上 面 安 装 Docker 引 擎 


创建 主机 成 功 后 ， 可 以 通过 docker-machine 1s 命 令 来 查看 注册 到 本 


地 管理 列表 中 的 Docker 主 机 : 





$ docker-machine ls 
NAME ACTIVE DRIVER STATE URL SWARM 
test - generic Running tcp://10.0.100.102:2376 





还 可 以 通过 inspect 命 令 碍 看 指定 Docker 主 机 的 具体 信息 。 
3. 云 平台 驱动 


以 Amazon Web Services 云 平台 为 例 ， 配 置 其 上 的 虚拟 机 为 Docker 主 
机 。 


需要 指定 Access Key ID, Secret Access Key. VPC ID 等 信息 。 例 
如 : 





$ docker-machine create --driver amazonec2 --amazonec2-access- key ARTETA FETE 
mazonec2-secret-key 8T93C********* -amazonec2-vpc-id vpc-****** 
aws_instance 





其 他 支持 的 云 平 台 还 包括 Microsoft Azure, Digital Ocean, 
Exoscale. Google Compute Engine. Rackspace. IBM Softlayer 等 。 


23.4 Machine 命令 


每 个 命令 都 带 有 一 系列 参数 ， 可 以 通过 如 下 命令 来 查看 用 法 : 





docker-machine <COMMAND> -h 





命令 参见 表 23-1。 


表 23-1 Machine 命 令 列 表 


全 S 说 朋 








active 查看 当前 激活 状态 的 Docker 主机 

config 查看 到 激活 Docker 主机 的 连接 信息 

creat 创建 一 个 Docker 主机 

env HATE BAF BL AE at 

inspect 以 json 格式 输出 指定 Docker 主机 的 详细 信息 

ip 获取 指定 的 Docker 主机 地 址 

kill 直接 杀 死 指定 的 a 

ls 列 出 所 有 管理 的 主 忆 

regenerate-certs HENE Hn TLS 认证 信息 

restart 重 局 指定 Docker 主机 

rm MEEA Docker 主机 。 对 应 虚 机 会 被 删除 

scp E Docker 主机 之 间 以 及 Docker 主机 和 本 地 之 间 通 过 scp 命令 来 远程 复制 文件 

ssh 通过 SSH 连 到 主机 上 ， 执 行 命令 

start 月 动 一 个 指定 的 Docker 主机 。 如 果 对 象 是 虚拟 机 ， 该 虚拟 机 将 被 启动 
获取 指定 Docker 主 机 的 状态 ， 人 包括 Running、Paused、Saved、Stopped、 

said Stopping, Starting, Error 4 

stop 停止 一 个 Docker 主 机 

upgrade 将 指定 主机 的 Docker 版 本 更 新 为 最 新 

url 获取 指定 Docker 主机 的 监听 URL 

help, h 输出 帮助 信息 


1.active 
格式 为 : docker-machine active[arg...] 
查看 当前 激活 状态 的 Docker 主 机 。 油 活 状 态 意味 着 当前 的 


DOCKER_HOST 环 境 变 量 指向 该 主机 。 例 如 下 面 命令 列 出 当前 激活 主 
机 为 dev 主 机 : 





$ docker-machine ls 


NAME ACTIVE DRIVER STATE URL 
dev virtualbox Running tcp://192.168.56.102:2376 
staging * digitalocean Running tcp://104.236.60.101:2376 


$ echo $DOCKER_HOST 
tcp://104.236.60.101:2376 
$ docker-machine active 
staging 





2.config 

格式 为 : docker-machine config[OPTIONS][arg...] 

但 看 到 激活 Docker 主 机 的 连接 信息 。 例 如 下 面 显 示 dev 主 机 的 连接 
信 A : 


Wy o 





$ docker-machine config dev 

--tlsverify --tlscacert="/home/docker_user/.docker/machines/dev/ca.pem" --tlscert=" 
/home/docker_user/.docker/machines/dev/cert.pem" --tlskey="/home/docker_user 
/.docker/machines/dev/key.pem" -H tcp://192.168.56.102:2376 





3.create 

格式 为 : docker-machine create[OPTIONS][arg...] 
创建 一 个 Docker 主 机 。 

选项 包括 : 


:--driver，-d"none" 指 定 驱 动 类 型 ， 





`--engine-install-url"https://get.docker.com" 配 置 Dokcer 主 机 时 候 的 安 
装 URL; 


---engine-opt option 以 键 值 对 格式 指定 所 创建 Docker 引 擎 的 参数 ; 


---engine-insecure-registry option 以 键 值 对 格式 指定 所 创建 Docker 引 
擎 允许 访问 的 不 文 持 认 证 的 注册 仓库 服务 ; 


---engine-registry-mirror option 指 定 使 用 注册 仓库 镜像 ; 


---engine-label option 为 所 创建 的 Docker 引 擎 添加 标签 ; 





.--engine-storage-driver 存 储 后 端 驱 动 类 型 ; 

---engine-env option 指 定 环境 变量 ; 

--Swarm 指 定 使 用 Swarmi 

---swarm-image"swarm: latest" 使 用 Swarm 时 候 采 用 的 镜像 ; 
--Swarm-master 配 置 机 器 作为 Swarm 集群 的 master 点 ; 
---swarm-discovery Swarm 集群 的 服务 上 有 有 现 机 制 参数 ; 
.--Swarm-strategy"spread"Swarm 默 认 调 度 策略 ; 

---swarm-opt option 任 意 传 递 给 Swarm 的 参数 ; 


---swarm-host"tcp://0.0.0.0: 3376" 指 定 地 址 将 监听 Swarm masteri AA 
请 求 ; 


.--Swarm-addr 从 指定 地 址 发 送 广播 加 入 Swarm 集群 服务 。 
例如 ， 通 过 如 下 命令 可 以 创建 一 个 Docker 主 机 的 虚拟 机 镜像 : 





$ docker-machine create -d virtualbox \ 

-engine-storage-driver overlay \ 

--engine-label name=testmachine \ 

--engine-label year=2015 \ 

--engine-opt dns=8.8.8.8 \ 

--engine-env HTTP_PROXY=http://proxy.com:3128 \ 
--engine-insecure-registry registry.private.com \ 

mydockermachine 





所 创建 Docker 主 机 虚拟 机 中 的 Docker 引 擎 将 具有 如 下 动能 : 
使 用 overlay 类 型 的 存储 驱动 ; 

. 带 有 name=testmachine 和 year=2015 两 个 标签 ; 

引擎 采用 8.8.8.8 作 为 默认 DNS; 


:环境 变量 中 指定 HTTP 代 理 服务 http://proxy.com:3128; 


允许 使 用 不 融 验 证 的 注册 仓库 服务 registry.private.com 。 
4.env 
格式 为 : docker-machine env[OPTIONS][arg...] 
连接 到 某 个 主机 需要 的 环境 变量 。 
例如 ， 显 示 连 接 到 default 主 机 所 需要 的 环境 变量 : 





$ docker-machine env default 

export DOCKER_TLS. -VERIFY mo” 

export DOCKER_HOST="tcp://192.168.56.102:2376" 

export DOCKER_CERT_PATH="/home/docker_user/.docker/machine/certs" 
export DOCKER_MACHINE_NAME="default" 





5.inspect 
格式 为 : docker-machine inspect[OPTIONS][arg...] 
以 json 格 式 输 出 指定 Docker 主 机 的 详细 信息 。 
例如 : 





$ docker-machine inspect default 
{ 


"DriverName": "virtualbox", 
"Driver": 
"MachineName": "docker-host -128be8d287b2028316c0ad5714b90bcfc11f 998056 
f2f790f7c1f43f3d1e6eda", 
"SSHPort": 22 
"Memory": 1024, 
"DiskSize" 20000, 
"Boot 2DockerURL" 
"IPAddress" "192. 168. 56.102" 





6.ip 
获取 指定 Docker 主 机 地 址 。 
例如 : 





$ docker-machine ip default 
192.168.56.102 





7.kill 

直接 杀 死 指定 的 Docker 主 机 。 

指定 Docker 主 机 会 强行 停止 

8.ls 

列 出 所 有 管理 的 主机 。 

格式 为 : docker-machine ls[OPTIONS][arg...] 
例如 : 





$ docker-machine ls 


NAME ACTIVE DRIVER STATE URL 

default - virtualbox Stopped 

testo - virtualbox Running tcp://192.168.56.105:2376 
test1 - virtualbox Running tcp://192.168.56.106:2376 
test2 virtualbox Running tcp://192.168.56.107:2376 





可 以 通过 --filter 来 只 输出 某 些 Docker 主 机 ， 支 持 过 滤器 包括 名 称 
则 表达 式 、 驱 动 类 型 、Swarm 管 理 节 点 名 称 、 状 态 等 。 


例如 : 





$ docker-machine ls --filter state=Stopped 
NAME ACTIVE DRIVE R STATE URL SWARM 
default - virtualbox Stopped 





支持 选项 包括 
`--quiet，-q 减 少 无 关 输 出 信息 ; 


---filter[--filter option--filter option] 只 输出 符合 过 小 条 件 主机 。 


23.5 ”本 章 小 结 


本 章 介 绍 了 Docker 三 件 套 之 一 ，Docker Machine 项 目 。 通 过 介绍 可 
以 看 出 ， 当 要 对 多 个 Docker 主 机 进行 配置 和 管理 时 ， 采 用 Docker 
Machine 将 十 分 方便 快捷 。 不 仅 提 高 了 操作 速度 ， 更 通过 批量 统一 的 管 
理 减 少 了 出 错 的 可 能 。 这 是 在 大 规模 集群 和 云 平 台 环 境 中 所 推荐 的 。 


配合 Compose 和 Swarmn， 可 以 实现 完整 的 Docker 环 境 生命 周期 管 
理 。 


第 24 章 ”Docker 三 剑客 之 Docker Compose 


编排 COrchestration) 功能 是 复杂 系统 实现 灵活 可 操作 性 的 关键 。 
特别 是 在 Docker 应 用 场景 中 ， 编 排 意味 着 用 户 可 以 灵活 地 对 各 种 容器 资 
源 实现 定义 和 管理 。 


作为 Docker 官 方 编排 工具 ，Compose 的 重要 性 不 言 而 喻 ， 它 可 以 让 
用 户 通 过 编写 一 个 简单 的 模板 文件 ， 快 速 地 创建 和 管理 基于 Docker 容 器 
的 应 用 集群 。 


本 章 将 介绍 Compose 项 目的 具体 情况 ， 以 及 如 何 进行 安装 和 使 用 ， 
最 后 还 通过 两 个 具体 案例 来 展示 如 何 编 写 Compose 模 板 文件 。 

















24.1 简介 


Compose 项 目 是 Docker 官 方 的 开源 项 目 ， 负 责 实 现 对 Docker 容 器 集 
群 的 快速 编排 。 从 功能 上 看 ， 跟 OpenStack 中 的 Heat 十 分 类 似 。 其 代码 
目前 在 https://github.com/docker/compose 上 开源 。 





Compose 定 位 是 “定义 和 运行 多 个 Docker 容 器 的 应 用 ”， 其 前 映 是 开 
源 项 目 Fig， 目 前 仍然 兼容 Fig 格 式 的 模板 文件 。 


通过 第 一 部 分 中 的 介绍 ， 我 们 知道 使 用 一 个 Dockerfile 模 板 文 件 ， 
经 常会 磁 到 需要 多 个 容器 相互 配合 来 完成 某 项 任务 的 情况 。 例 如 要 实现 
一 个 Web 项 目 ， 除 了 Web 服 务 容器 本 吴 ， 往 往 还 需要 再 加 上 后 并 的 数据 
库 服务 容器 ， 甚 至 还 包括 负载 均衡 容器 等 。 


Compose 恰 好 满足 了 这 样 的 需求 。 它 允许 用 户 通 过 一 个 单独 的 
docker-compose.yml 模 板 文件 (YAML 格 式 ) 来 定义 一 组 相关 联 的 应 用 
容 右 为 一 个 项 目 〈project) 。 

Compose 中 有 两 个 重要 的 概念 : 


.服务 〈service) : 一 个 应 用 的 容器 ， 实 际 上 可 以 包括 奉 干 运行 相同 
镜像 的 容器 实例 。 


:项 目 (project) : 由 一 组 关联 的 应 用 容器 组 成 的 一 个 完 整 业 务 单 
元 ， 在 docker-compose.yml 文 件 中 定义 。 


Compose 的 默认 管理 对 象 是 项 目 ， 通 过 子 命令 对 项 目 中 的 一 组 容器 
进行 便捷 地 生命 周期 管理 。 


Compose 项 目 由 Python 编写 ， 实 现 上 调用 了 Docker 服 务 提 供 的 API 来 
对 容器 进行 管理 。 因 此 ， 只 要 所 操作 的 平台 文 持 Docker API, Win UE 
其 上 利用 Compose 来 进行 编排 管理 。 





24.2 ”安装 与 好 载 


Compose 目 前 文 持 Linux 和 Mac ”OS 平台 ， 两 者 的 安装 过 程 大 同 小 





已 
FF o 


安装 Compose 之 前 ， 要 先 安装 Docker〈 需 要 Docker Engine 
1.7.1+) ， 详 细 步 又 请 参考 第 一 部 分 中 的 内 容 。 


Compose 可 以 通过 Python 的 pip 工 具 进 行 安 装 ， 可 以 直接 下 载 编译 好 
的 二 进 制 文件 使 用 ， 甚 至 直接 运行 在 Docker 容 器 中 。 


前 两 种 方式 是 传统 方式 ， 适 合 本 地 环境 下 安装 使 用 ;最 后 一 种 方式 
则 不 破坏 系统 环境 ， 更 适合 RIR. 























1.pip 安 装 
这 种 方式 是 将 Compose 当 作 一 个 Python 应 用 来 从 pip 源 中 安装 。 


执行 安装 命令 : 





$ sudo pip install -U docker-compose 





BYU BUSS AGH Part, Wb ce TA: 





Collecting docker-compose 
Downloading docker-compose-1.8.0.tar.gz (149kB): 149kB downloaded 


Successfully installed docker-compose cached-property requests texttable websocket- 
client docker-py dockerpty six enum34 backports.ssl-match-hostname ipaddress 





安装 成 功 后 ， 可 以 查看 docker-compose 命 令 的 用 法 : 





$ docker-compose -h 
Define and run multi-container applications with Docker. 
Usage: 
docker-compose [-f=<arg>...] [options] [COMMAND] [ARGS...] 
docker-compose -h|--help 


Options: 
-f, --file FILE Specify an alternate compose file (default: 
docker-compose.yml 
-p, --project-name NAME Specify an alternate project name (default: 
directory name 
--X-networking ea Use new Docker networking 


E aie ty: 
res Docker 1.9 or later. 
-X-network-driver DRIVER (EXPERIMENTAL) Specify a network driver (default: 
"bridge"). 
Requires Docker 1.9 or later. 


--verbose Show more output 


-v, --version Print version and exit 
Commands: 
build Build or rebuild services 
help Get help on a command 
kill Kill containers 
logs View output from containers 
pause Pause services 
port Print the public port for a port binding 
ps List containers 
pull Pulls service images 
restart Restart services 
rm Remove stopped containers 
run Run a one-off command 
scale Set number of containers for a service 
start Start services 
stop Stop services 
unpause Unpause services 
up Create and start containers 
migrate-to-labels Recreate containers to add labels 
version Show the Docker-Compose version information 





之 后 ， 可 以 添加 bash 补 全 命令 





$ curl -L https://raw.githubusercontent .com/docker/compose/1.8.0/contrib/completion 
/bash/docker-compose > /etc/bash_completion.d/docker -compose 





2. 二 进 制 包 


官方 定义 编译 好 二 进 制 包 ， 供 大 家 使 用 。 这 些 发 布 的 二 进 制 包 可 以 
在 https://github.com/docker/compose/releases 页 面 找 到 。 


这 些 二 进 制 文件 ， 下 载 后 直接 放 到 执行 路 径 下 ， 并 添加 执行 权限 即 
可 。 例 如 ， 在 Linux 平 台 上 : 








$ sudo curl -L https://github.com/docker/compose/releases/download/1.8.0/docker- 
compose- uname -s`-`uname -mò > /usr/local/bin/docker -compose 
$ sudo chmod a+x /usr/local/bin/docker -compose 





可 以 使 用 docker-compose version 命令 来 查看 版 本 信息 ， 以 测试 是 否 
LAS KD) : 





$ docker-compose version 

docker-compose version 1.8.0, build 94f7016 
docker-py version: 1.9.0 

cPython version: 2.7.6 

OpenSSL version: OpenSSL 1.0.1f 6 Jan 2014 





3. 容 器 中 执行 
Compose 既 然 是 一 个 Python 应 用 ， 上 自然 也 可 以 直接 用 容 吉 来 执行 





Bi 





$ curl -L https://github.com/docker/compose/releases/download/1.8.0/run.sh > 
/usr/local/bin/docker -compose 
$ chmod +x /usr/local/bin/docker -compose 





实际 上 ， 碍 看 下 载 的 run.sh 脚 本 内 容 ， 如 下 所 示 : 





set -e 

VERSION="1.8.0" 

IMAGE="docker/compose: $VERSION" 

# Setup options for connecting to docker host 

if [ -z "$DOCKER_HOST" ]; then 
DOCKER_HOST="/var/run/docker. sock" 

ri 

if [ -S "$DOCKER_HOST" ]; then 

DOCKER_ADDR="-v $DOCKER_HOST:$DOCKER_HOST -e DOCKER_HOST" 


else 
DOCKER_ADDR="-e DOCKER_HOST -e DOCKER_TLS_VERIFY -e DOCKER_CERT_PATH" 
Fi 
# Setup volume mounts for compose config and context 
if [ "$(pwd)" != '/' J; then 
VOLUMES="-v $(pwd):$(pwd)" 
Fi 


if [ -n "$COMPOSE_FILE" ]; then 
compose_dir=$(dirname $COMPOSE_FILE) 
Fi 
# TODO: also check --file argument 

if -n "$compose_dir" ]; then 

VOLUMES="$VOLUMES -v $compose_dir:$compose_dir" 


if -n "$HOME" J; then 

VOLUMES="$VOLUMES -v $HOME:$HOME -v $HOME:/root" # mount $HOME in /root to 
share docker.config 

fi 

# Only allocate tty if we detect one 

if -t 1]; then 

DOCKER_RUN_OPTIONS="-t" 

fi 

ar -t © ]; then 

DOCKER_RUN_OPTIONS="$DOCKER_RUN_OPTIONS -i" 





rL 
exec docker run --rm $DOCKER_RUN_OPTIONS $DOCKER_ADDR $COMPOSE_OPTIONS $VOLUMES 
-w "$(pwd)" $IMAGE "$0" 








可 以 看 到 ， 它 其 实 是 下 载 了 docker/compose 镜 像 并 运行 
4. 印 载 
如 果 是 二 进 制 包 方 式 安装 的 ， 删 除 二 进 制 文 件 即 可 : 





$ sudo rm /usr/local/bin/docker -compose 





如 果 是 通过 Python pip 工 具 安 装 的 ， 则 可 以 执行 如 下 命令 删除 : 





$ sudo pip uninstall docker-compose 





24.3 ”Compose 命 令 说 明 


对 于 Compose 来 说 ， 大 部 分 命令 的 对 象 既 可 以 是 项 目 本 身 ， 也 可 以 
指定 为 项 目 中 的 服务 或 者 容器 。 如 果 没 有 特别 说 明 ， 命 令 对 象 将 是 项 
目 ， 这 意味 着 项 目 中 所 有 的 服务 都 会 受到 命令 影响 。 


执行 docker-compose[COMMAND]--help 或 者 docker-compose 
help[COMMAND] 可 以 查看 具体 茶 个 命令 的 使 用 格式 。Compose 命 令 的 
基本 的 使 用 格式 是 : 














docker-compose [-f=<arg>...] [options] [COMMAND] [ARGS...] 





命令 选项 如 下 : 
--f, --file FILE 指 定 使 用 的 Compose 模 板 文件 ， 默 认为 docker- 


compose.yml， 可 以 多 次 指定 。 


Fee hgh = NAME 指 定 项 目 名 称 ， 默 认 将 使 用 所 在 目录 名 
称 作为 项 目 名 。 


.--X-networking 使 用 Docker 的 可 拔 插 网 络 后 端 特性 〈 需 要 Docker 1.9 
及 以 后 版 本 ) 。 


---x-network-driver DRIVER 指 定 网 络 后 端的 驱动 ， 默 认为 
bridge (需要 Docker 1.9 及 以 后 版 本 ) 。 


.--Verbose 输 出 更 多 调试 信息 。 
.-V，--version 打 印 版 本 并 退出 。 
命令 列表 见 表 24-1。 


表 24-1 Compose 命 令 


命 $ 说 明 
build HEEL PAN NS AA 
help 获得 一 个 售 令 的 帮助 
kill 通过 发 送 STGKILL 信号 来 强制 停止 服务 容 吉 
logs KARERA 
pause Bt MAS tt 
(2) 
命 4 说 明 
port 打印 某 个 容器 端口 所 映射 的 公共 端口 
ps 列 出 项 目 中 目前 的 所 有 容 各 
pull 朱 取 服务 依赖 的 镜像 
restart 重 局 项 目 中 的 服务 
rm 出 除 所 有 (HERSH REAR 
run 在 指定 服务 上 执行 一 个 命令 
scale 设置 指定 服务 运行 的 容器 个 数 
start 启动 已 经 存在 的 服务 容 央 
stop 停止 已 经 处 于 运行 状态 的 容 需 ， 但 不 删除 它 
unpause 恢复 处 于 暂停 状态 中 的 服务 
up 日 动 完成 包括 构建 筑 像 、 创 建 服务 、 启 动 服务 并 关联 服务 相关 容器 的 一 系列 操作 


migrate-to-labels | 重新 创建 容器 ， 并 添加 label 
version 打印 版 本 信息 


命令 使 用 说 明 如 下 。 
1.build 
格式 为 docker-compose build[options][SERVICE...]. 


构建 “重新 构建 ) IA PAIRS A ak o 


服务 容器 一 旦 构建 后 ， 将 会 带 上 一 个 标记 名 ， 例 如 对 于 web 项 目 中 
的 一 个 db 容器 ， 可 能 是 web db。 可 以 随时 在 项 目 目录 下 运行 docker- 
compose build 来 重新 构建 服务 。 


选项 包括 : 

-force-rm 删 除 构建 过 程 中 的 临时 容 占 。 

--no-cache 构 建 镜像 过 程 中 不 使 用 缓存 〈 这 将 加 长 构建 过 程 ) 。 
--pull 始 终 和 尝试 通过 拉 取 操作 来 获取 更 新 版 本 的 镜像 。 








2.help 
获得 一 个 命令 的 帮助 。 

3.kill 

格式 为 docker-compose kill[options][SERVICE...]. 

通过 发 送 SIGKILL 信 号 来 强制 停止 服务 容器 。 

文 持 通过 -s 参 数 来 指定 发 送 的 信号 ， 例 如 通过 如 下 指令 发 送 SIGINT 





$ docker-compose kill -s SIGINT 





4.logs 
格式 为 docker-compose logs[options][SERVICE...]. 


查看 服务 容 右 的 输出 。 默 认 情 况 下 ，docker-compose 将 对 不 同 的 服 
务 输出 使 用 不 同 的 颜色 来 区 分 。 可 以 通过 --no-color 来 关闭 颜色 。 该 命令 
在 调试 问题 的 时 候 十 分 有 用 。 

5.pause 

格式 为 docker-compose pause[SERVICE...]。 

暂停 一 个 服务 容器 。 

6.port 

格式 为 docker-compose port[options]SERVICE PRIVATE_PORT。 

显示 某 个 容器 端口 所 映射 的 公共 端口 。 

选项 : 

.--Drotocol=proto 指 定 端口 协议 ，TCP“〈 默 认 值 ) 或 者 UDP。 


`--index=index 如 果 同 一 服务 存在 多 个 容器 ， 指 定 命令 对 象 容器 的 序 
号 《默认 为 1) o 


7.ps 

格式 为 docker-compose ps[options][SERVICE...]. 
列 出 项 目 中 目前 的 所 有 容器 。 

选项 : -q 只 打印 容 堪 的 ID 信息 。 


8.pull 





格式 为 docker-compose pull[options][SERVICE...]. 
拉 取 服务 依赖 的 镜像 。 


选项 : --ignore-pull-failures 忽 略 拉 取 镜像 过 程 中 的 错误 。 


9.restart 
格式 为 docker-compose restart[options][SERVICE...]. 
重启 项 目 中 的 服务 。 


选项 为 -t，--timeout TIMEOUT， 指 定 重启 前 停止 容器 的 超时 《默认 
为 10 秒 ) 。 


10.rm 
格式 为 docker-compose rm[options][SERVICE...]。 


删除 万 有 《停止 状态 的 ) 服务 容器 。 推 荐 先 执行 docker-compose 
stop fin SKIT IEA ai o 


选项 如 下 : 


-f，--force 强 制 直 接 删除 ， 包 括 非 停止 状态 的 容器 。 一 般 尽 量 不 要 
使 用 该 选项 。 


-v 删 除 容 器 所 挂 载 的 数据 卷 。 
11.run 


格式 为 docker-compose run[options][-p PORT...][-e 
KEY=VAL...JSERVICE[COMMAND][ARGS...]. 


在 指定 服务 上 执行 一 个 命令 。 
例如 : 





$ docker-compose run ubuntu ping docker.com 





将 会 局 动 一 个 ubuntu 服务 容器 ， 并 执行 ping docker.com 命 令 。 

默认 情况 下 ， 如 有 果 存 在 关联 ， 则 所 有 关联 的 服务 将 会 自动 被 启动 ， 
除非 这 些 服务 已 经 在 运行 中 。 该 命令 类 似 于 启动 容器 后 运行 指定 的 命 
令 ， 相 关 卷 、 链 接 等 都 将 会 按照 配置 自动 创建 。 有 两 个 不 同 点 : 











定 命令 将 会 覆盖 原 有 的 上 自动 运 行 命令 ; 
:不 会 目 动 创建 北口， 以 避免 冲突 。 
如 果 不 希 望 目 动 后 动 天 联 的 容器 ， 可 以 使 用 --no-deps 选 项 ， 例 如 : 








$ docker-compose run --no-deps web python manage.py shell 





i 


KAZA Web Aa RKA A AL aE o 
选项 : 

-dE JA FIST MRA Ae o 

---name NAME A 4 ira E TAF. 
---entrypoint CMD ti SKU A at a Ta So 


-e KEY=VAL 设 置 环境 变量 值 ， 可 多 次 使 用 选项 来 设置 多 个 环境 变 


-u，--Uuser="" 指 定 运行 容器 的 用 户 名 或 者 uid。 
--no-deps 不 自动 启动 关联 的 服务 容器 。 

--Tm 运 行 命令 后 自动 删除 容器 ，d 模 式 下 将 忽略 。 

--p, --publish=[]PRN 4 asin O BI) AH EAL 
--Service-ports 配 置 服务 端口 并 映射 到 本 地 主机 。 

-I 不 分 配 伪 tty， 意 味 着 依赖 ty 的 指令 将 无 法 运行 。 
12.scale 

格式 为 docker-compose scale[options][SERVICE=NUM...]. 


设置 指定 服务 运行 的 容 右 个 数 。 


通过 service=num 的 参数 来 设置 数量 。 例 如 : 





$ docker-compose scale web=3 db=2 





将 启动 3 个 容器 运行 web 服 务 ，2 个 容器 运行 db 服务 。 一 般 情况 下 ， 
A ee 云 行 容器 ， 将 新 创建 并 启动 容器 ; 反 


选项 为 -t，--timeout TIMEOUT， 停 止 容器 时 候 的 超时 (默认 为 10 
秒 ) 。 


13.start 
格式 为 docker-compose start[ SERVICE...]. 


启动 已 经 存在 的 服务 容器 。 





14.stop 
格式 为 docker-compose stop[options][SERVICE...]. 


停止 已 经 处 于 运行 状态 的 容器 ， 但 不 删除 它 。 通 过 docker-compose 
start 可 以 再 次 启动 这 些 容器 。 


选项 为 -t，--timeout ” TIMEOUT， 停 止 容器 时 候 的 超时 (默认 为 10 
秒 ) 。 





15.Unpause 
格式 为 docker-compose unpause[SERVICE...]。 


恢复 处 于 暂停 状态 中 的 服务 。 





16.up 
格式 为 docker-compose up[options][SERVICE...]. 


该 命令 十 分 强大 ， 它 将 尝试 目 动 完成 包括 构建 镜像 ， (重新 ) 创建 
服务 ， 局 动 服务 ， 并 关联 服务 相关 容器 的 一 系列 操作 。 和 链接 的 服务 部 将 








会 税目 动 局 动 ， 除 非 己 经 处 于 运行 状态 。 


可 以 说 ， 大 部 分 时 候 都 可 以 直接 通过 该 命令 来 启动 一 个 项 目 。 默 认 
情况 ，docker-compose up 启动 的 容器 都 在 前 台 ， 控 制 台 将 会 同时 打印 所 
有 容器 的 输出 信息 ， 可 以 很 方便 进行 调试 。 当 通过 Ctrl-C 停 止 命令 时 ， 
所 有 容器 将 会 停止 。 如 果 使 用 docker-compose up-d， 将 会 在 后 台 启 动 并 
运行 所有 的 容器 。 一 般 推荐 生产 环境 下 使 用 该 选项 。 默 认 情 况 ， 如 果 服 
务 容器 已 经 存在 ，docker-compose up 将 会 尝试 停止 容器 ， 人 然后 重新 创建 
(保持 使 用 volumes-from 挂 载 的 卷 )， 以 保证 新 启动 的 服务 匹配 docker- 
compose.yml 文 件 的 最 新 内 容 。 如 果 用 户 不 希望 容器 被 停止 并 重新 创 
建 ， 可 以 使 用 docker-compose up--no-recreate。 这 样 将 只 会 启动 处 于 停止 
状态 的 容器 ， 而 忽略 已 经 运行 的 服务 。 如 果 用 户 只 想 重新 部 署 某 个 服 
务 ， 可 以 使 用 docker-compose up--no-deps-d<SERVICE_NAME>3K Œ #1 
创建 服务 并 后 台 停 止 旧 服务 ， 启 动 新 服务 ， 并 不 会 影响 到 其 所 依赖 的 服 


务 。 











选项 : 

-d 在 后 台 运 行 服务 容器 。 

--no-color 不 使 用 颜色 来 区 分 不 同 的 服务 的 控制 台 输 出 。 
--no-deps 不 启动 服务 所 链接 的 容器 。 

--force-recreate 强 制 重新 创建 容器 ， 不 能 与 --no-recreate 同 时 使 用 。 


`--no-recreate 如 果 容 右 已 经 存在 了 ， 则 不 重新 创建 ， 不 能 与 --force- 
recreate 同 时 使 用 。 


--no-build 不 自动 构建 缺失 的 服务 镜像 。 

-t，--timeout TIMEOUT ERARE GRAULE) 。 
17.migrate-to-labels 

格式 为 docker-compose migrate-to-labels 。 


重新 创建 容 如 ， 并 添加 label。 主 要 用 于 升级 1.2 及 更 早 版 本 中 创建 的 
容 右 ， 添 加 缺失 的 容器 标签。 


实际 上 ， 最 彻底 的 办 法 当然 是 删除 项 目 ， 然 后 重新 创建 。 
18.version 


格式 为 docker-compose version 。 


打印 版 本 信息。 


24.4 Compose} aah E 


环境 变量 可 以 用 来 配置 Compose 的 行为 ， 参 见 表 24-2。 以 
DOCKER_ 开 头 的 变量 和 用 来 配置 Docker 命 令 行 客户 端的 使 用 一 样 。 如 
果 使 用 boot2docker，$(boot2docker shellinit) 将 会 设置 它们 为 正确 的 值 。 


3} 
hala 


COMPOSE PROJECT. NAME 


COMPOSE FILE 


COMPOSE API VERSION 


DOCKER HOST 


DOCKER TLS VERIFY 


DOCKER CERT PATH 


COMPOSE HTTP TIMEOUT 


表 24-2 Compose 环 境 变 量 
说 g 

设置 Compose 的 项 目 名 称 ， 默 认 是 当前 工作 目录 ( docker-compose.yml X 
件 所 在 目录 ) 的 名 字 

Compose 会 为 每 一 个 月 动 的 容 得 前 添加 的 项 目 名 称 ， 例 如 一 个 名 称 为 proj 
的 项 目 ， 其 中 的 一 个 web 容器 ， 名 称 可 能 为 proj_web 1 

设置 要 使 用 的 docker-compose.yml 的 路 径 。 如 果 不 指定 ， 默 认 会 先 查 找 当 
前 工作 目录 下 是 否 存 在 docker-compose.yml 文件 ， 如 果 还 找 不 到 ， 则 继续 查 
找 上 层 目 录 

HREF, Compose 发 出 的 Docker 请求 的 版 本 可 能 Docker 服务 端 并 不 
支持 ， 可 以 通过 指定 AP 版 本 来 临时 解决 这 一 问题 

在 生产 环 增 中 不 推荐 使 用 这 一 临时 方案 ， 要 通过 运 当 的 升级 来 保证 客户 端 
和 服务 器 版 本 的 兼容 性 

WH Docker 服务 端的 监听 地 址 。 默 认 使 用 unixyNvarrunldockersock， 这 其 
实 也 是 Docker 客户 斋 采 用 的 默认 但 

如 果 该 环境 变量 不 为 室 ， 则 与 Docker 服务 端的 所 有 交互 都 通过 TLS 协议 进 
行 加 密 

配置 了 LS 通信 所 需要 的 验证 文件 (包括 ca.pem, cert.pem 和 keypem) 的 路 
fh, 默认 是 .docker 

Compose 发 送 往 Docker 服务 端的 语 求 的 超时 ， 默 认为 60 Bb 


24.5 “Compose 模 板 文件 
模板 文件 是 使 用 Compose 的 核心 ， 涉 及 的 指令 关键 字 也 比较 多 。 但 
oo 这 里 的 大 部 分 指令 与 docker ”run 相关 参数 的 含义 都 是 类 
默认 的 模板 文件 名 称 为 docker-compose.yml， 格 式 为 YAML 格 式 。 


在 旧版 本 《版 本 1) F, SEP RES TCR AIRS AK, RBC 
为 服务 容器 的 配置 信息 ， 例 如 : 





webapp: 
image: examples/web 


ports: 
- "80:80" 


olumes: 
- "/data" 








版 本 2 扩展 了 Compose 的 语法 ， 同 时 尽量 兼容 版 本 1， 除 了 可 以 声明 
网 络 和 存储 信息 外 ， 最 大 的 不 同一 是 添加 了 版 本 信息 ， 男 一 个 是 需要 将 
所 有 的 服务 放 到 services 根 下 面 。 


例如 ， 上 面 例子 改写 为 版 本 2， 内 容 为 : 











mage: examples/web 
s: 
- "80:80" 


- "/data" 





注意 ， 每 个 服务 都 必须 通过 image 指 令 指定 镜像 或 build 指 令 〈 需 要 
Dockerfile) 等 来 自动 构建 生成 镜像 。 


如 果 使 用 build 指 令 ， 在 Dockerfile 中 设置 的 选项 〈 例 如 : CMD. 
EXPOSE, VOLUME, ENV) 将 会 自动 被 获取 ， 无 需 在 docker- 
compose.yml 中 再 次 设置 。 

表 24-3 列 出 这 些 指令 的 功能 。 


表 24-3 Compose 模 板 文件 主要 指令 


指 令 功 能 
build 指定 服务 镜像 Dockerfile MERE 
容器 的 内 核能 力 (capacity) 分 配 
容器 启动 后 默认 执行 的 谷 仿 


iE 

cap add, cap drop | 指定 
i 

cgroup parent 指定 父 cgroup 组 ， 意 际 着 将 继承 该 组 的 资源 限制 
iE 
iE 


command 4 


container_name 指定 容器 名 称 。 默认 将 会 使 用 项 目 名 称 _ 服 务 名 称 _ 序 号 这 样 的 格式 
devices 指定 设备 映射 关系 


dns 日 定义 DNS 服务 右 。 可 以 是 一 个 值 ， 也 可 以 是 一 个 列表 

dns Search 配置 DNS 搜索 域 。 可 以 是 一 个 但 也 可 以 是 一 个 列表 

dockerfile 指定 额外 编译 弹 像 的 Dockefile 文件 ， 可 以 通过 该 指令 来 指定 

env file 从 文件 中 获取 环境 变量 ， 可 以 为 单独 的 文件 路 径 或 列表 

environment 设置 环境 变量 ， 可 以 使 用 数组 或 学 典 两 种 格式 

expose ig tall 

extends 基于 其 他 模板 文件 进行 扩展 

Te 链接 到 docker-compose ,yml 外 部 的 容器 ， 其 至 可 以 是 非 Compose 管理 的 外 部 
it 

extra hosts 指定 额外 的 host 名 称 映射 信息 


指定 为 镜像 名 称 或 镜像 D。 如 果 镜像 在 本 地 不 存在 ，Compose 将 会 尝试 拉 取 这 个 
镜像 


image 


(8) 


指 令 功 能 
labels HAAR Docker 元 数据 (metadata) 信息 
links 链接 到 其 他 服务 中 的 容 从 
re 指定 日 志 驱 动 类 型 ， 类 似 于 Docker 中 的 -log-driver SH, HAI A A Moh 
类 型 ，log driver: "json-file" log driver: "syslog", log driver: "none" 
log_opt Ha a Aa 
net 设置 网 络 模式 。 参 数 类 似 于 docker client 的 --net 参数 一 样 
oid EMA RHEE A oe, TAMA AEM IE), DCA EBL 
之 间 可 以 通过 进程 ID 来 相互 访问 和 操作 
ports meal 
security opt 指定 容 需 模板 标 俭 (label) 机 制 的 默认 属性 (如 用 户 、 和 角色、 类型、 级别 村) 
ulimits 指定 容器 的 wlimits 限制 人 
— UTE BURR abe E. MTDC EG ELBE (HOST: CONTAINER) 或 加 上 访问 


横 式 (HOST: CONTAINER: ro) 
volumes driver BMU Docker 支持 数据 卷 的 插件 驱动 
volumes from 从 另 一 个 服务 或 容 需 挂 载 它 的 数据 郑 
下 面 介绍 部 分 指令 的 用 法 。 
1.Build 指 令 
指定 Dockerfile 所 在 文件 夹 的 路 径 《〈 可 以 是 绝对 路 径 ， 或 者 相对 


docker-compose.yml 文 件 的 路 径 ) 。Compose 将 会 利用 它 自动 构建 这 个 镜 
像 ， 然 后 使 用 这 个 镜像 : 








build: /path/to/build/dir 





2.cap_add, cap_drop 
指定 容器 的 内 核能 力 (capacity) 分 配 。 


例如 ， 让 容器 拥有 所 有 能 力 可 以 指定 为 : 





cap_add: 
- ALL 





去 掉 NET_ADMIN 能 力 可 以 指定 为 : 





cap_drop: 
- NET_ADMIN 





3.command 


履 关 容器 月 动 后 默认 执行 的 命令 : 





command: echo "hello world" 





4.cgroup_parent 
指定 父 cgroup 组 ， 意 味 痢 将 继承 该 组 的 资源 限制 。 
例如 ， 创 建 了 一 个 cgroup 组 名 称 为 cgroups_1: 





cgroup_parent: cgroups_1 





5.container_ name 


指定 容器 名 称 。 默 认 将 会 使 用 “项 目 名 称 _ 服 务 名 称 _ 序 号 ”这 样 的 格 
式 。 例 如 : 





container_name: docker-web-container 





再 要 注意 ， 指 定 容 需 名 称 后， 该 服务 将 无 法 进行 扩展 ， 因 为 Docker 
不 多 许多 个 容器 具有 相同 的 名 称 。 


6.devices 


指定 设备 映射 关系 ， 例 如 : 











devices: 
- "/dev/ttyUSB1:/dev/ttyUSBO" 





7.dns 


目 定 义 DNS 服务 器 。 可 以 是 一 个 值 ， 也 可 以 是 一 个 列表 ， 例 如 : 





dns: 8.8.8.8 
dns: 


- 8.8.8.8 
- 9.9.9.9 





8.dns_search 


配置 DNS 搜索 域 。 可 以 是 一 个 值 ， 也 可 以 是 一 个 列表 ， 例 如 : 





dns_search: example.com 
dns_search: 
- domaini.example.com 
- domain2.example.com 





9.Dockerfile 


如 果 需 要 ， 指 定额 外 的 编译 镜像 的 Dockefile 文 件 ， 可 以 通过 该 指令 
来 指定 ， 例 如 : 





Dockerfile: Dockerfile-alternate 





该 指令 不 能 跟 image 同 时 使 用 ， 否 则 Compose 将 不 知道 根据 哪个 指 
令 来 生成 最 终 的 服务 镜像 。 


10.env_file 
从 文件 中 获取 环境 变量 ， 可 以 为 单独 的 文件 路 径 或 列表 。 


如 果 通 过 docker-compose-f FILE 方 式 来 指定 Compose 模 板 文件 ， 则 
env_file 中 变量 的 路 径 会 基于 模板 文件 路 径 。 


如 果 有 变量 名 称 与 environment 指 令 冲 突 ， 则 按照 惯例 ， 以 后 者 为 
准 : 





- /opt/secrets.env 





环境 变量 文件 中 每 一 行 必须 符合 格式 ， 文 持 # 开 头 的 注释 行 : 





ion.env: Set development environment 
PROG_ENV=development 





11.environment 
设置 环境 变量 ， 可 以 使 用 数组 或 字典 两 种 格式 。 


只 给 定名 称 的 变量 会 自动 获取 运行 Compose 主 机 上 对 应 变量 的 值 ， 
可 以 用 来 防止 泄露 不 必要 的 数据 。 例 如 : 














environment: 
RACK_ENV: development 
SESSION_SECRET : 





或 者 : 





environment : 
- RACK_ENV=development 
- SESSION_SECRET 





注意 ， 如 果 变 量 名 称 或 者 值 中 用 到 truelfalse，yeslno 等 表达 布尔 含 》 





的 词汇 ， 最 好 放 到 引号 里 ， 避 免 YAML 自动 解析 某 些 内 容 为 对 应 的 布尔 
语义 : 





http://yaml.org/type/bool.html 中 给 出 了 这 些 特定 词汇 ， 包 括 
ylYl|yes|Yes|YES|[n|N|no|No|NO 

| true|True|TRUE|false|False|FALSE 
Jon|On|ON| off | Off | OFF 








12.expose 


depen, HARRIEN, RIC HEBER MARA VI. MAY 
以 指定 内 部 端口 为 参数 ， 如 下 所 示 : 








expose: 
- "3000" 
- "8000" 





13.extends 


基于 其 他 模板 文件 进行 扩展 。 例 如 ， 我 们 已 经 有 了 一 个 webapp 服 
务 ， 定 义 一 个 基础 模板 文件 为 common.yml， 如 下 所 示 : 








# common.yml 
webapp: 
build: ./webapp 
environment: 
- DEBUG=false 
- SEND_EMAILS=false 





再 编写 一 个 新 的 development.yml 文 件 ， 使 用 common.yml 中 的 
webapp 服 务 进行 扩展 : 





# development .yml 
web: 


extends: 

file: common.yml 

service: webapp 
ports: 

- "8000:8000" 
links: 


environment: 
- DEBUG=true 


image: postgres 





后 者 会 自动 继承 common.yml 中 的 webapp 服 务 及 环境 变量 定义 。 
使 用 extends 需 要 注意 以 下 几 点 : 





要 避免 出 现 循环 依赖 ， 例 如 A 依赖 B，B 依 赖 C，C 反 过 来 依赖 A 的 


:extends 不 会 继承 links 和 volumes from 中 定义 的 容器 和 数据 卷 资源 。 


一 般 情 况 下 ， 推 荐 在 基础 模板 中 只 定义 一 些 可 以 共享 的 镜像 和 环境 
变量 ， 在 扩展 模板 中 具体 指定 应 用 变量 、 链 接 、 数 据 卷 等 信息 。 








14.external_links 


té £l|\docker-compose.yml4hab HI Aas, te A) Æ ECompose E H 
的 外 部 容器 。 参 数 格 式 跟 links 类 似 : 





external li nks 
- redis_1 
- project_db_1 
- project_db 4: io: Spee 





15.extra_hosts 


i 类 似 于 Docker 中 的 --add-host 参 数 ， 指 定额 外 的 host 名 称 映 射 信息 ， 
列 如 : 





extra_hosts 
- "googledns .8.8" 
- "dockerhu b: oy 17157361" 





会 在 启动 后 的 服务 容器 中 /etc/hosts 文 件 中 添加 如 下 两 条 条 目 : 





8.8.8.8 googledns 
52. is 157.61 dockerhub 





16.image 


指定 为 镜像 名 称 或 镜像 ID 。 如 果 镜 像 在 本 地 不 存在 ，Compose 将 会 
尝试 拉 取 这 个 镜像 ， 例 如 : 





image: ubun 
image: orc pa 村 tgresql 
image: a4bc65f 





17.labels 


为 容器 添加 Docker 元 数据 (metadata) (4. PIM, AHRS 
加 辅助 说 明 信 息 : 





labels 
com .startupteam.description: "webapp for a startup team 
com.startupteam.departmen ve ae veps i depart ment" 
com. startupteam. release: 





18.links 


链接 到 其 他 服务 中 的 容器 。 使 用 服务 名 称 〈 同 时 作为 别名 ) ， 或 
人 
以 ， 例 如 : 





links: 


- db 
- db:database 
- redis 





使 用 的 别名 将 会 自动 在 服务 容器 中 的 /etc/hosts 里 创建 。 例 如 : 





172.17.2.186 db 
172.17.2.186 et ae 
172.17.2.187 redi 





所 连接 容器 中 相应 的 环境 变量 也 将 创建 。 
19.log_driver 


类 似 于 Docker 中 的 --log-driver 参 数 ， 指 定 日 志 驱 动 类 型 。 目 前 文 持 
三 种 日 志 驱 动 类型: 





log_driver: "json-file" 
log dri ver: "syslog" 
log_driver: "none" 





20.log_opt 
日 志 驱 动 的 相关 参数 。 例 如 : 





log_driver: "syslog" 


log_opt: 
syslog-address: "tcp://192.168.0.42:123" 





21.net 


设置 网 络 模式 。 人 参数 类 似 于 docker client 的 --net 人 参数 : 





net: "bridge" 

net: "none" 

net: "container:[name or id]" 
net: "host" 





22.pid 


BRAEDL A HK SE FE a A ETB] © TT PETS A a Zl], WA A at 
和 和 宿主 机 系统 之 间 可 以 通过 进程 ID 来 相互 访问 和 操作 : 








pid: "host" 
23.ports 
ae pein H fa E o 


使 用 “宿主 : 容器 ”( 如 “HOST: CONTAINER”) 格式 ， 或 者 仅仅 指 
定 容 右 的 端口 (宿主 将 会 随机 选择 端口 ): 





ports: 
- "3000" 

- "8000:8000" 

- "49100:22" 

- "127.0.0.1:8001:8001" 


注意 


当 使 用 "HOST: CONTAINER" 格 式 来 映射 端口 时 ， 如 果 你 使 用 的 容 
器 端口 小 于 60 并 且 没 放 到 引号 里 ， 可 能 会 得 到 错误 结果 ， 因 为 YAML 会 
自动 解析 xx: yy 这 种 数字 格式 为 60 进 制 。 为 避免 出 现 这 种 问题 ， 建 议 数 
字 串 都 采用 引号 包括 起 来 的 字符 串 格 式 。 





24.security_opt 


指定 容器 模板 标签 (label〉 机 制 的 默认 属性 (用 户 、 角 色 、 类 型 、 
级 别 等 ) 。 例 如 ， 配 置 标签 的 用 户 名 和 角色 名 : 





security_opt: 
- label:user:USER 
- label:role:ROLE 





25.ulimits 


指定 容器 的 ulimits 限 制 值 。 例 如 ， 指 定 最 大 进程 数 为 65535， 指 定 
文件 句柄 数 为 20000《〈 软 限制 ， 应 用 可 以 随时 修改 ， 不 能 超过 硬 限 制 ) 
和 40000 (系统 硬 限 制 ， 只 能 root 用 户 提 高 〉。 








ulimits: 
nproc: 65535 
nofile: 
soft: 20000 
hard: 40000 





26.volumes 


数据 卷 所 挂 载 路 径 设 置 。 可 以 设置 宿主 机 路 径 (HOST: 
CONTAINER) 或 加 上 访问 模式 (HOST: CONTAINER: ro) 。 该 指令 
中 路 径 支 持 相 对 路 径 。 例 如 : 





olumes: 
- /var/lib/mysql 
- cache/:/tmp/cache 
- ~/configs:/etc/configs/:ro 





27.volumes_driver 


较 新 版 本 的 Docker 文 持 数据 卷 的 插件 驳 动 。 用 户 可 以 先 使 用 第 三 方 
驱动 创建 一 个 数据 卷 ， 然 后 使 用 名 称 来 访问 它 。 此 时 ， 可 以 通过 
volumes_driver 来 指定 驱动 : 





volume_driver: mydriver 





28.volumes_from 


从 忆 一 个 服务 或 容器 挂 载 它 的 数据 郑 : 





volumes_from: 
service_name 
- container_name 





29. 其 他 指令 


此 外 ， 还 有 包括 cpu_shares、cpuset、domainname、entrypoint、 
hostname, ipc, mac_address. mem_limit. memswap_limit. privileged, 
read_only. restart. stdin_open. tty. user. working _dirfjf S, JAE 


docker-run 中 对 应 参数 的 功能 一 致 。 


例如 ， 指 定 使 用 CPU 核 0 和 核 1， 只 用 50% 的 CPU 资源 : 





cpu_shares: 73 
cpuset: 0,1 





指定 服务 容器 启动 后 执行 的 命令 : 





entrypoint: /code/entrypoint.sh 





指定 容器 中 运行 应 用 的 用 户 名 : 





user: nginx 





指定 容 圳 中 工作 目录 : 





working_dir: /code 





指定 容器 中 搜索 域名 、 主 机 名 、mac 地 址 等 : 





domainname: your_website.com 
hostname: test 
mac_address: 08-00-27-00-0C-0A 








ipc: host 





指定 容器 中 内 存 和 内 存 交 换 区 限制 都 为 1G: 














指定 容器 退出 后 的 重启 策略 为 始终 重启 。 该 命令 对 保持 服务 始终 运 
行 十 分 有 效 ， 在 生产 环境 中 推荐 配置 为 always 或 者 unless-stopped: 





restart: always 





以 只 读 模 式 挂 载 容 器 的 root 文 件 系统 ， 意 味 着 不 能 对 容器 内 容 进行 





read_only: true 





打开 标准 输入 ， 可 以 接受 外 部 输入 : 





stdin_open: true 





模拟 一 个 假 的 远程 控制 合 : 





tty: true 








30. 读 取 环 境 变量 
r 1.5.0 ASF oR, Compose ik LF LIFIR ERRENA Kt Be 
Z > 量 o 


例如 ， 下 面 的 Compose 文 件 将 从 运行 它 的 环境 中 读 取 变量 
${MONGO_VERSION} 的 值 ， 并 将 其 写 入 执行 的 指令 中 : 


db: 
image: "mongo:${MONGO_VERSION}" 





如 果 执 行 MONGO_VERSION=3.0 docker-compose up 则 会 启动 一 个 
mongo: 3.2 镜 像 的 容器 ， 如 有 果 执 行 MONGO_VERSION=2.8 docker- 
compose up 则 会 启动 一 个 mongo: 2.8 镜 像 的 容器 。 


24.6 Compose HRP —: Web 负 和 载 均衡 

负载 均衡 器 +Web 应 用 是 十 分 经 典 的 应 用 结构 。 下 和 面 ， 笔 者 将 创建 
一 个 该 结构 的 Web 项 目 : 将 Haproxy 作 为 负载 均衡 器 ， 后 端 挂 载 三 个 
Web 容 器 。 


首先 创建 一 个 haproxy_web 目 录 ， 作 为 项 目 工 作 目 录 ， 并 在 其 中 分 
别 创建 两 个 子 目 录 : web 和 haproxy。 


1.web 子 日 录 


在 web 子 目录 下 将 放置 所 需 Web 应 用 代码 和 Dockerfile， 下 面 将 生成 
需要 的 Web 镜 像 。 

这 里 用 Python 程序 来 实现 一 个 简单 的 Web 应 用 ， 该 应 用 能 啊 应 
HTTP 请 求 ， 返 回 的 页 面 将 打印 出 访问 者 的 卫 和 啊 应 请 求 的 后 端 容 塔 的 
IP. 


(1) index.py 
编写 一 个 index.py 作 为 服务 器 文件 ， 代 码 为 : 





#!/usr/bin/python 
#authors: yeasy.github.com 
#date: 2013-07-05 
import sys 
import BaseHTTPServer 
from SimpleHTTPServer import SimpleHTTPRequestHandler 
import socket 
import fcntl 
import struct 
import pickle 
from datetime import datetime 
from collections import OrderedDict 
class HandlerClass(SimpleHTTPRequestHandler ): 
def get_ip_address(self,ifname): 
s = socket.socket(socket.AF_INET, socket .SOCK_DGRAM) 
return socket.inet_ntoa(fcntl.ioctl( 
s.fileno(), 
0x8915, # SIOCGIFADDR 
struct.pack('256s', ifname[:15]) 
)[20:24]) 
def log_message(self, format, *args): 
if len(args) < 3 or "200" not in args[1]: 
return 
try: 
request = pickle.load(open("pickle_data.txt","r")) 
except: 
request=OrderedDict() 
time_now = datetime.now( 
ts = time_now.strftime('%Y-%m-%d %H:%M:%S' ) 
server = self.get_ip_address('eth0o') 
host=self.address_string() 
addr_pair = (host,server) 
if addr_pair not in request: 
request [addr_pair ]=[1, ts] 
else: 
num = request [addr_pair][0]+1 
del request [addr_pair] 


request[addr_pair]=[num, ts] 
file=open("index.html", "w" 
file.write("<!DOCTYPE html> <html> <body><center><h1><font color=\"blue\" 
face=\"Georgia, Arial\" size=8><em>HA</em></font> Webpage Visit 
Results</h1></center>"); 
for pair in request: 
if pair[0] == host: 
guest = "LOCAL: "+pair[0] 
else: 
guest = pair[0] 
if (time_now-datetime.strptime(request[pair][1], '%Y-%m-%d %H:%M:%S')) 
.Seconds < 3: 
file.write("<p style=\"font-size:150%\" >#"+ str(request[pair] 
[1]) +": <font color=\"red\">"+str(request[pair][Q])+ "</ 
font> requests " + "from &lt<font color=\"blue\">"+guest+" 
</font>&gt to WebServer &lt<font color=\"blue\">"+pair[1]+" 
</font>&gt</p>") 
else: 
file.write("<p style=\"font-size:150%\" >#"+ str(request[pair] 
[1]) +": <font color=\"maroon\">"+str(request[pair][0])+ 
"</font> requests " + "from &lt<font color=\"navy\">"+guest+ 
"</font>&gt to WebServer &lt<font color=\"navy\">"+pair[1]+ 
"</font>&gt</p>") 
file.write("</body> </html>"); 
file.close() 
pickle.dump(request, open("pickle_data.txt","w")) 





if name. == "main 
try: 
ServerClass = BaseHTTPServer.HTTPServer 
Protocol = "HTTP/1.0" 


addr = len(sys.argv) < 2 and "0.0.0.0" or sys.argv[1] 
port = len(sys.argv) < 3 and 80 or int(sys.argv[2]) 
HandlerClass.protocol_version = Protocol 
httpd = ServerClass((addr, port), HandlerClass) 
sa = httpd.socket.getsockname( ) 
print "Serving HTTP on", sa[0], "port", sa[1], "..." 
httpd.serve_forever() 

except: 
exit () 





(2) index.html 


生成 一 个 临时 的 index.html 文 件 ， 其 内 容 会 由 index.py 来 更 新 : 





$ touch index.html 





(3) Dockerfile 


生成 一 个 Dockerfile， 部 署 该 web 应用， 内容 为 : 





FROM python:2.7 
WORKDIR /code 

ADD . /code 

EXPOSE 80 

CMD python index.py 





2.haproxy 子 目录 
该 目录 将 配置 haproxy 镜 像 。 
在 其 中 生成 一 个 haproxy.cfg 文 件 ， 内 容 为 : 





global 


log 127.0.0.1 localo 

log 127.0.0.1 locali notice 

maxconn 4096 
defaults 

log global 

mode http 

option httplog 

option dontlognull 

timeout connect 5000ms 

timeout client 50000ms 

timeout server 50000ms 
listen stats 

bind 0.0.0.0:70 

mode http 

stats enable 

stats hide-version 

stats scope . 

stats realm Haproxy\ Statistics 

stats uri / 

stats auth user:pass 
frontend balancer 

bind 0.0.0.0:80 

mode http 

default_backend web_backends 
backend web_backends 

mode http 

option forwardfor 

balance roundrobin 

server weba weba:80 check 

server webb webb:80 check 

server webc webc:80 check 

option httpchk GET / 

http-check expect status 200 





3.docker-compose.yml X 4#} 


在 haproxy_web 目 录 下 编写 一 个 docker-compose.yml 文 件 ， 该 文件 是 
Compose 使 用 的 主 模板 文件 。 其 中 ， 指 定局 动 3 个 Web 容 髓 (weba, 
webb, webc) ， 以 及 1 个 Haproxy 容 器 : 





# This will start a haproxy and three web services. haproxy will act asa 
loadbalancer. 
# Authors: yeasy.github.com 
# Date: 2015-11-15 
weba: 
build: ./web 


haproxy: 
image: haproxy:1.6 
volumes: 
- ./haproxy:/haproxy-override 
- ./haproxy/haproxy.cfg:/usr/local/etc/haproxy/haproxy.cfg:ro 
links: 
- weba 
- webb 
- webc 
ports: 
- "80:80" 
- "70:70" 





4.3847 compose ™ H 


现在 haproxy_web 目 录 应 该 长 成 下 面 的 样子 : 





haproxy_web}|— docker-compose.ym1}— haproxy| — haproxy.cfg'— web 
Dockerfile 
index.html 
index.py 





在 该 目录 下 执行 sudo docker-compose up 命令 ， 控 制 台 会 整合 显示 出 


所 有 容器 的 输出 信息 : 





$ sudo docker-compose up 

Recreating haproxyweb_webb_1... 

Recreating haproxyweb_webc_1. 

Recreating composehaproxyweb_\ weba_ i 

Recreating composehaproxyweb_| haproxy_1 

Attaching to composehaproxyweb_webb_1, ` composehaproxyweb_. webc_1, composehaproxyweb_ 
weba_1, composehaproxyweb_haproxy_: 





此 时 通过 浏览 器 访问 本 地 的 80 端 口 ， 会 获取 到 页 面 信息 ， 如 图 24-1 
所 示 。 


HA Webpage Visit Results 


#2015-11-18 02:26:47: 2 requests from <LOCAL 172.17.0.45> to WebServer <172.17.0.44> 





图 24-1 访问 页 面 信息 


经 过 Haproxy 自 动 转发 到 后 端的 某 个 Web 容 器 上 ， 刷 新 页 面 ， 可 以 
观 穴 到 访问 的 容 喜 地址 的 变化 。 


访问 本 地 70 端 口 ， 可 以 查看 到 Haproxy 的 统计 信息 ， 如 图 24-2 所 





ZN o 


查看 本 地 的 镜像 ， 会 发 现 Compose 自 动 创建 的 haproxyweb_weba、 
haproxyweb_webb、haproxyweb_webc 镜 像 : 





$ docker images 


REPOSITORY TAG IMAGE ID CREATED VIRTUAL SIZE 
haproxyweb_webb latest 33d5e6f5e20b 44 minutes ago 675.2 MB 
haproxyweb_weba latest 33d5e6f5e20b 44 minutes ago 675.2 MB 
haproxyweb_webc latest 33d5e6f5e20b 44 minutes ago 675.2 MB 





当然 ， 还 可 以 进一步 使 用 Consul 等 方案 来 实现 服务 自动 发 现 ， 这 样 
就 可 以 不 用 手动 指定 后 端的 web 容 器 了， 更 为 灵活 。 


adve UP backup UP External resources; 
pid 1 {process #1, nbproc = 1) actve UP, going down backup UP, going dow + Primary ste 
uplime = Dd On nbs activa DOWN, going up backup DOWN, going up + Updates (15 


=U mt = 8207 
pe pele poet DONN | re 
curant conns = 4, currant pipas = 0/0, conn ralo = Oga active or backup DOWN for maintenance (MAINT) 
Running tasks: 1/11; idle = 100% active or backup SOFT STOPPED tor maintenance 

Nove: "NOLB''DRAN" = UP wit load-balancing disabled 


+ Online manual 


EW Me 
ET TT 


图 24-2 ”访问 haproxy 的 统计 信息 





24.7 Compose HRPZ: 大 数据 Spark 集 群 
1. 简 介 


Spark 丰 Berkeley 开 发 的 分 布 式 计算 的 框架 ， 相 对 于 Hadoop 来 说 ， 
Spatk 可 以 缓存 中 间 结 果 到 内 存 从 而 提高 某 些 需要 连 代 的 计算 场景 的 效 
率 ， 目 前 受到 广泛 关注 。 


熟悉 Hadoop 的 读者 会 比较 轻松 ，Spark 很 多 设计 理念 和 用 法 都 跟 
Hadoop 保 持 一 致 和 相似 ， 并 且 在 使 用 上 完全 兼容 HDFS。 但 是 Spark 的 安 
装 并 不 容易 ， 依 赖 包括 Java、Scala、HDFS 等 。 


通过 使 用 Docker ”Compose， 可 以 快速 地 在 本 地 搭建 一 套 Spark 环 
境 ， 方 便 大 家 开发 Spark 应 用 ， 或 者 扩展 到 生产 环境 。 


2. 准 备 工作 
这 里 ， 我 们 采用 比较 热门 的 ps ea ee 这 个 镜像 


已 经 安装 了 对 Spark 的 完整 依赖 。 由 于 镜像 比较 大 〈 超 过 2GB) ， 推 荐 
先 下 载 镜 像 到 本 地 : 











$ docker pull sequenceiq/spark:1.4.0 





(1) docker-compose.yml X 4#} 


首先 新 建 一 个 spark_cluster 目 录 ， 并 在 其 中 创建 一 个 docker- 
compose.yml 文 件 。 文 件 内 容 如 下 : 





master: 
image: ZAN aon ei ee rk:1.4.0 
hostname: 
por ts: 
- "4040:4040" 
- "8042:8042" 
- "7077:7077" 
- "8088:8088" 
- "8080:8080" 
restart: e aya 
aa em_lim 
mand: a Ae i 7 1/spark/sbin/start-master.sh && ping localhost > /dev/null 


magn sequenceiq/spark:1.4.0 
in 
- mas ster: ster 
expos 
- "8081" 
restart: always 


com mand: bash /usr/loc 人 n/start-slave.sh spark://master:7077 && 
ping localhost >/dev/nu. 


docker-compose.yml 中 定义 了 两 种 类 型 的 服务 : master 和 slave。 
master 类 型 的 服务 容器 将 负责 管理 操作 ，worker 则 负责 有 具体 处 理 。 


(2) master 服 务 
master 服 务 映 射 了 好 几 组 端口 到 本 地 ， 端 口 的 功能 如 下 : 


.4040: Spark 运 行 任务 时 候 提 供 Web 界 面 观 察 任 务 的 具体 执行 状 
况 ， 包 括 执行 到 哪个 阶段 、 在 哪个 executor 上 执行 ; 


.8042: Hadoop 的 节点 管理 界面 ; 


:7077: Spark 主 节点 的 监听 端口 ， 用 己 可 以 提交 应 用 到 这 个 端口 ， 
worker 节 点 也 可 以 通过 这 个 问 口 连接 到 主 节 点 构成 集群 ; 


8080: Spark 的 监控 界面 ， 可 以 看 到 所 有 worker、 应 用 的 整体 信 


el 


‘8088: Hadoop 集 群 的 整体 监控 界面 。 
(3) worker 服 务 
关 似 于 masterT 点 ， 局 动 后 ， 执 行 /asrlocal/spark/sbin/start-slave.sh — 
spark: //master: 7077 命 令 来 配置 自己 为 worker 节 点 ， 然 后 通过 ping 来 避 
免 容 器 退出 。 


注意 ， 局 动 脚 本 后 面 需要 提供 spark: //master: 7077 参 数 来 指定 
master E HEHE. 


8081 端 口 提 供 的 Web 界 面 ， 可 以 看 到 该 worker 节 点 上 任务 的 具体 执 
行情 况 ， 如 图 24-3 所 示 。 





| Memory Job Details | Logs 





Memory Job Detalls Logs 


512.0 MB 1D: app-201509220207 14-0000 stdout stderr 
Name: Spark shell 
User, root 








KILLED 512.0 MB ID: app-20150922021413-0001 stdout stderr 
Name: Spark Pi 
User: root 


图 24-3 ”查看 任务 的 执行 情况 

















3. 启 动 集群 
在 spark_cluster 目 录 下 执行 启动 命令 : 








$ docker-compose up 





docker-compose 服 务 运行 起 来 后 ， 我 们 还 可 以 用 scale 命 令 来 动态 扩 
展 Spark 的 worker 节 点 数 ， 例 如 : 





$ docker-compose scale worker=2 
Creating and starting 2... done 





4. 执 行 应 用 
Spark 推 荐 用 spark-submit 命 令 来 提交 执行 的 命令 ， 基 本 语法 为 : 





spark-submit \ 
--class your-class-name \ 
--master master_url \ 
your-jar-file 
app_params 





例如 ， 我 们 可 以 使 用 Spark 自 带 样 例 中 计算 Pi 的 应 用 。 
在 master 节 点 上 执行 如 下 命令 





/usr/local/spark/bin/spark- submit --master spark://master:7077 --conf "spark. 
eventLog.enabled=true" --class org.apache.spark.examples.SparkPi /usr/local/ 
spark/lib/spark- examples- 1.4.0-hadoop2.6.0.jar 1000 





最 后 的 参数 1000 表 示 要 计算 的 迭代 次 数 为 1000 次 。 


任务 运行 中 ， 可 以 用 浏览 器 访问 4040 端 口 ， 看 到 任务 被 分 配 到 了 两 
个 worker 节 点 上 执行 ， 如 图 24-4 所 示 。 


Jobs Stages Storage Environment 


Executors (3) 


Memory: 0.0 B Used (796.2 MB Total) 
Disk: 0.0 B Used 


Executor RDD Memory Failed Complete Total | Task Shuffle Thread 
Address Blocks Used Tasks Tasks Tasks Time | Input Read i Logs Dump 





17217.0.47:52098 0 00812654 |0. 0 46 5d 319s (00B 0.08 stdout | Thread 
MB stderr | Dump 


472.17.0.49:55494 0 0.0 B/ 265.4 | 0, (36s 008 0.08 j stdout | Thread 
MB stderr | Dump 


172.17.0.46:35519 0 00812654 0. 00B 00B 0. Thread 
MB Dump 


图 24-4 ”执行 应 用 









































24.8 ”本 章 小 结 


本 章 介 绍 了 Docker 的 官方 工具 Compose 的 安装 和 使 用 情况 ， 并 结合 
两 个 具体 案例 展示 Compose 带 来 的 编排 能 


通过 Compose， 用 户 可 以 编写 和 分 发 一 个 简单 的 模板 文件 ， 快 速 地 
创建 一 套 基 于 Docker 容 器 有 的 服务 栈 。 在 Docker 三 剑客 中 ，Compose 掌 省 
运行 时 的 编排 能 力 ， 位 置 十 分 关键 。 


推荐 读者 在 日 常 工作 中 注意 使 用 Compose 来 编写 服务 模板 ， 并 注意 
对 和 常见 工具 栈 的 模板 文件 进行 积累 。 





第 25 音 ”Docker 三 剑客 之 Docker Swarm 
Docker Swarm 是 Docker 官 方 的 三 剑客 项 目 之 一 ， 提 供 Docker 容 器 集 
群 服务 ， 是 Docker 官 方 对 容器 云 生 态 进行 支持 的 核心 方案 。 使 用 它 ， 用 
户 可 以 将 多 个 Docker 主 机 封装 为 单个 大 型 的 虚拟 Docker 主 机 ， 快 速 打造 
| 
本 章 将 介绍 Swarm 项 目的 相关 情况 ， 以 及 如 何 进行 安装 和 使 用 ， 最 
后 将 对 Swarm 的 服务 发 现 后 端 、 调 度 器 和 过 滤器 等 功能 进行 讲解 。 











25.1 简介 


Docker Swarm 是 Docker 公 司 推 出 的 官方 容 堪 集群 平台 ， 基 于 Go 语言 
实现 ， 代 码 开 源 在 https:/github.com/docker'swarm。 目 前 ， 包 括 
Rackspace 在 内 的 许多 平台 都 采用 了 Swarm， 用 户 也 很 容易 在 AWS 等 公 
有 云 平台 使 用 Swarm。 











Swarm 的 前 身 是 Beam 项 目 和 libswarm 项 目 ， 首 个 正式 版 本 (Swarm 
V1) 在 2014 年 12 月 初 发 布 。 为 了 提高 可 扩展 性 ，2016 年 2 月 对 架构 进行 
重新 设计 ， 推 出 了 V2 版 本 ， 文 持 超过 1 干 个 节点 。 最 新 的 Docker Engine 
已 经 集成 了 Swarm Kit， 加 强 了 对 Swarm 的 协作 文 持 。 


作为 容器 集群 省 理 器 ，Swarm 最 大 的 优势 之 一 就 是 100% 文 持 标准 的 
Docker API。 各 种 基于 标准 API 的 工具 ， 如 Compose、docker-py， 各 种 
管理 软件 ， 甚 至 Docker 本 吴 等 都 可 以 很 容易 地 与 Swarm 进行 集成 。 这 大 
大 方便 了 用 户 将 原先 基于 单 节 点 的 系统 移植 到 Swarm 上 。 同 时 Swarm 内 
a SCH, FAA AY LARS Sy a eS ELA A A GE 


Swarm V1 的 结构 图 如 图 25-1 所 示 。 可 以 看 出 ，Swarm 是 典型 的 
master-slave 结 构 ， 通 过 发 现 服务 来 选举 manager。manager 是 中 心 管理 节 
点 ， 各 个 node 上 运行 agent 接 受 manager 的 统一 管理 。 











Docker Docker Docker 


*cluster 


filter 


cluster 





Docker Client 


图 25-1 Swarm 基本 结构 图 


在 V2 中 ， 集 群 会 自动 通过 Raft 协 议 分 布 式 选举 出 manager 节 点 ， 无 
需 额 外 的 发 现 服务 支持 ， 避 免 了 单 点 瓶 贷 。 同 时 ，V2 中 内 置 了 基于 
DNS 的 负载 均衡 和 对 外 部 负载 均衡 机 制 的 集成 支持 。 


目前 ，Swarm V1 支持 的 Docker 版 本 为 1.6.0+，V2 支 持 的 Docker 版 本 
为 1.12.0+。 本 章 将 以 Swarm V1 为 主 进行 介绍 ， 并 结合 V2 的 部 分 最 新 特 
性 进行 讲解 。 





25.2 ”安装 Swarm 

安装 Swarm 有 几 种 方式 ， 可 以 基于 Docker Machine 进 行 安 装 ， 也 可 
以 手动 配置 。 为 了 能 更 容易 理解 Swarm 的 组 件 和 更 灵活 地 进行 管理 ， 推 
荐 使 用 手动 配置 方式 。 


对 于 Docker 1.12+ 版 本 ，Swarm 相 关 命 令 已 经 原生 先入 到 了 Docker 
Engine 中 ， 对 于 较 低 版 本 的 Docker， 需 要 额外 进行 配置 。 


1. 下 载 镜像 


Docker 官 方 已 经 提供 了 Swarm 镜像 ， 需 要 在 所 有 被 Swarm 管理 的 
Docker 主 机 上 下 载 该 镜像 : 





$ docker pull swarm 





a 以 使 用 下 面 的 命令 来 查看 Swarm 版 本 ， 验 证 是 否 成 功 下载 Swarm 
PA: 





$ docker run --rm swarm -v 
swarm version 1.2.2 (34e3da3) 





2. fic Ss 


Docker 主 机 在 加 入 Swarm 集群 前 ， 需 要 进行 一 些 简 单 配置 ， 添 加 
Docker daemon 的 网 络 监听 。 例 如 ， 在 局 动 Docker daemon 的 时 候 通过 -H 
参数 : 





$ sudo docker daemon -H tcp://0.0.0.0:2375 -H unix:///var/run/docker .Sock 


LS 


Vy. A 
VE Teh 


Docker 1.8.0 前 的 版 本 不 支持 daemon 命 令 ， 可 以 用 -d 代 蔡 。 





如 末 是 通过 服务 方式 局 动 ， 则 需要 修改 服务 的 配置 文件 。 


以 Ubuntu ”14.04 为 例 ， 配 置 文件 为 /etc/default/docker( 其 他 版 本 的 
Linux 上 略 有 不 同 ) 。 在 文件 的 最 后 添加 : 





DOCKER_OPTS="$DOCKER_OPTS -H tcp://0.0.0.0:2375 -H unix:///var/run/docker.sock" 





3. 启 动 集群 

Docker 和 集群 管理 需要 使 用 服务 发 现 (Service Discover) 功能 ， 
Swarm 支持 以 下 几 种 方式 :Docker Hub、 本 地 文件 、Etcd、Consul、 
Zookeeper 和 手动 指定 节点 IP 地 址 信息 等 。 


除了 手动 指定 外 ， 这 些 方法 原理 上 都 是 通过 维护 一 套数 据 库 机 制 来 
管理 集群 中 注册 节点 的 Docker Daemon 的 访问 信息 。 


本 地 配置 集群 推荐 使 用 Consul 作 为 服务 友 现 后 端 。 利 用 社区 提供 的 


Docker 镜 像 ， 整 个 过 程 只 需要 三 步 即 可 完成 。 
(1) 启动 Consul 服 务 后 端 
局 动 Consul 服 务 容 器 ， 映 射 到 主机 的 8500 端 口 : 





$ docker run -d -p 8500:8500 --name=consul progrium/consul -server -bootstrap 





获取 到 本 地 主机 的 地 址 作为 consul 的 服务 地 址 : <consul_ip>:8500. 
(2) 启动 管 理 节 点 
首先 司 动 一 个 主管 理 节 点 ， 有 映射 到 主机 的 4000 端 口 ， 并 获取 所 在 主 


机 地 址 为 <manager0_ip>。 其 中 4000 端 口 是 Swarm 管 理 器 的 默认 监听 端 
口 ， 用 户 也 可 以 指定 映射 为 其 他 端口 : 





$ docker run -d -p 4000:4000 swarm manage -H :4000 --replication --advertise 
<manager@_ip>:4000 consul://<consul_ip>:8500 





为 了 提高 可 用 性 ， 也 可 以 局 动 从 管理 节点 。 假 定 获 取 所 在 主机 地 址 


为 <manager1_ ip>: 





$ docker run -d swarm manage -H :4000 --replication --advertise <manager1_ip>: 
4000 consul://<consul_ip>:8500 








(3) Joh CHET AA 


需要 在 每 个 工作 节点 上 启动 agent 服 务 。 获 取 节 点 的 主机 地 址 为 
<node_ ip>， 并 指定 前 面 获取 到 的 consul 服 务 地 址 : 











$ docker run -d swarm join --advertise=<node_ip>:2375 consul://<consul_ip>:8500 





节点 启动 后 ， 用 户 可 以 指定 Docker 服 务 地 址 为 <manager0_ip>: 
4000> 来 测试 各 种 Docker 命 令 ， 可 以 看 到 整个 Swarm 集群 就 像 一 个 虚拟 
的 Docker 主 机 一 样 正常 工作 。 


由 于 Swarm 实 际 上 是 通过 agent 调 用 了 本 地 的 Docker daemon 来 运行 
容 项 ， 当 Swarm 集群 服务 出 现 故 障 时 ， 无 法 接受 新 的 请 求 ， 但 已 经 运行 
起 来 的 容器 将 不 会 受到 影响 。 


25.3 ”使 用 Swarm 


前 面 演 示 了 基于 Consul 服 务 发 现 后 端 来 配置 一 个 本 地 Swarm 集群 。 
其 中 ，Consul 也 可 以 被 蔡 换 为 Etcd、ZooKeeper 等 。 


另外 一 个 更 方便 的 方式 是 直接 使 用 Docker Hub 提 供 的 免费 服务 发 现 
后 端 。 下 面 使 用 这 种 方式 来 演示 Swarm 的 主要 操作 ， 包 括 : 


create: 创建 一 个 集群 ; 

list: 列 出 集群 中 的 节点 ; 
-manage: 管理 一 个 集群 ; 
join: 让 节点 加 入 到 某 个 集群 。 


注意 ， 使 用 Docker Hub 的 服务 发 现 后 端 ， 需 要 各 个 节点 能 通过 公 网 
访问 到 Docker Hub 的 服务 接口 。 


1. 创 建 集群 id 


在 任意 一 台 安 装 了 Swarm 的 机 器 上 执行 swarm create 命 令 来 在 Docker 
Hub 服 务 上 进行 注册 。Swarm 会 通过 服务 发 现 后 端 ( 此 处 为 Docker Hub 
ae 来 获取 一 个 唯一 的 由 数字 和 字母 组 成 的 token， 用 来 标识 要 管理 

RFE: 

















$ docker run --rm swarm create 
946d65606f7c2f49766e4dddac5b4365 





注意 返回 的 字符 串 ， 这 是 集群 的 唯一 d， 加 入 集群 的 各 个 市 点 将 需 


要 这 个 信息 。 
2. 配 置 集 群 节点 
在 所 有 要 加 入 集群 的 普 f 通 节点 上 执行 swarm join 命令 ， 表 示 把 这 人 台 


机 器 加 入 指定 集群 当中 。 例 如 ， 某 台 机 器 的 耳 地 址 为 192.168.0.2， 将 其 
加 入 我 们 刚 创 建 的 946d65606-f7c2f49766e4dddac5b4365 和 集群 ， 则 可 以 使 


用 如 下 命令 : 





$ docke --rm 
e4dddac5b4365 
e="2015-12-09T08:59:43Z" level=info msg="Registering on the discovery 
service every 20s..." addr="192.168.0.2:2375" discovery="token:// 
946d65606f7c2F49766e4dddac5b4365" 


swarm join --addr=192.168.0.2:2375 token: //946d65606f7c2f49766 


tim 





其 中 ，--addr 指 定 的 耳 地 址 信息 将 被 发 送 给 服务 发 现 后 端 ， 用 以 区 
分 集群 不 同 的 节点 。manager 服 务必 须要 通过 这 个 地 址 可 以 访问 到 该 节 
Fao 


通过 控制 台 可 以 看 到 ， 上 述 命令 执行 后 ， 默 认 每 隅 20 秒 《〈 可 以 通 
过 --heartbeat 选 项 指定 ) 会 输出 一 条 心跳 信息 。 对 于 发 现 服务 后 端 来 
说 ， 默 认 如 果 超 过 60 秒 可 以 通过 --tl 选 项 指定 ) 没有 收 到 心跳 信息 ， 
则 将 节点 从 列表 中 删除 。 


如 果 不 希 望 看 到 输出 日 志 信 息 ， 则 可 以 用 -d 选 项 蔡 换 --rm 选 项 ， 让 
服务 后 合 执行 。 


执行 swarm join 命令 实际 上 是 通过 agent 把 目 己 的 信息 注册 到 发 现 服 
务 上 上， 因此， 此 时 对 于 后 器 的 发 现 服务 来 说 ， 已 经 可 以 看 到 有 知 干 节点 
注册 上 来 了 。 那 么 ， 如 何 管理 和 使 用 这 些 节 点 呢 ? 这 就 得 需要 Swarm 的 
manager 服 务 了 。 


3 配置 管理 节点 


配置 管理 节点 需要 使 用 swarm manage 命 令 ， 该 命令 将 启动 manager 
服务 ， 默 认 监 听 到 2375 端 口 ， 所 有 对 集群 的 管理 都 可 以 通过 该 服务 接口 
进行 。 


读者 可 能 注意 到 ，manager 服 务 默认 监听 的 端口 跟 Docker 服 务 监 听 
端口 是 一 样 的 ， 这 是 为 了 兼容 其 他 基于 Docker 的 服务 ， 可 以 无 颖 地 切换 
到 Swarm 平台 上 来 。 


仍然 在 节点 192.168.0.2 进 行 操作 。 由 于 我 们 是 采用 Docker 容 器 形式 
启动 manager 服 务 ， 本 地 的 2375 端 口 已 经 被 Docker Daemon 占 用 ， 我 们 将 
manager 服 务 监 听 端 口 映 射 到 本 地 一 个 空闲 的 12375 端 口 : 




















$ docker run -d -p 12375:2375 swarm manage token://946d65606f7c2f49766e4dddac5b4365 


1e1ca8c4117b6b7271efc693f9685b4e907d8dc95324350392b21e94b3cffd18 





可 以 通过 docker ps 命令 来 查看 启动 的 Swarm manager 服 务 容器 : 





$ docker ps 
CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 
lelca8c4117b "/swarm manage token:" 11 seconds ago Up 10 seconds 


arm 
0.0.0.0:12375->2375/tcp jovial_rosalind 
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4. 碍 看 集群 节点 列表 


集群 局 动 成 功 以 后 ， 用 户 可 以 在 任何 一 台 市 点 上 使 用 swarm list 命令 
查看 集群 中 的 布点 列表 。 例 如 : 








$ docker run --rm swarm list token://946d65606f7c2f49766e4dddac5b4365 
192.168.0.2:2375 





显示 正 是 之 前 用 swarm join 命令 加 入 集群 的 节点 的 地 址 。 


我 们 在 另外 一 个 节点 192.168.0.3 上 同样 使 用 swarm join 命 令 新 加 入 
NA 


INe 





$docker run --rm swarm join --addr=192.168.0.3:2375 token ://946d65606f7c2f49766 


e4dddac5b4365 
time="2015-12-10T02:05:34Z" level=info msg="Registering on the discovery 
service every 20s " addr="192.168.0.3:2375" discovery="token: 


//946d65606f7c2f49766e4dddac5b4365" 





再 次 使 用 swarm list 命 令 碍 看 集群 中 的 节点 列表 信息 ， 可 以 看 到 新 加 
ARTA: 





$ docker run --rm swarm list token://946d65606f7c2f49766e4dddac5b4365 
192.168.0.3:2375 
192.168.0.2:2375 





5. 使 用 集群 服务 


那么 ， 怎 么 使 用 Swarm 提供 的 服务 呢 ? 实际 上 ， 所 有 Docker 客 户 端 
可 以 继续 使 用 ， 只 要 指定 使 用 Swarm manager 服 务 的 监听 地 址 即 可 。 


例如 ，manager 服 务 监 听 的 地 址 为 192.168.0.2: 12375， 则 可 以 通过 
指定 -H 192.168.0.2: 12375 选 项 来 继续 使 用 Docker 客 户 端 ， 执 行 任意 
Docker 命 令 ， 例 如 ps、info、run 等 。 


在 任意 节点 上 使 用 docker run 来 局 动 若 干 容器 ， 例 如 ; 











$docker -H 192.168.0.2:12375:12375 run -d ubuntu ping 127.0.0.1 
4c9bccbf 86fb6e2243da58c1b15e9378fac362783a663426bbe7058eeas4de46 
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$ docker -H 192.168.0.2:12375 ps 

CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS 
NAMES 

4c9bccbf86fb buntu "ping 127.0.0.1" About a minute ago Up About a minute 
clever_wright 

730061a3801a registry: latest "docker-registry" 2 minutes ago 


Up 2 minutes 192.168.0.2:5000->5000/tcp Host-1/registry_registry_1 
72d99f 24a06f redis:3.0 "/entrypoint.sh redis" 2 minutes ago 
Up 2 minutes 6379/tcp Host-1/registry_redis_1 


Host-1/registry_registry_1/redis, Host-1/registry_registry_1/redis_1,Host-1 
/registry_registry_1/registry_redis_1 





输出 结果 中 显示 目前 集群 中 正在 运行 的 容器 〈 注 意 不 包括 Swarm 
manageri k5 Aas) ， 可 以 在 不 同 节 点 上 使 用 docker ps 但 看 本 地 容器 ， 
会 发 现 这 些 容 右 实际 上 可 能 运行 在 集群 中 的 多 个 节点 上 (由 Swarm 调 度 
策略 进行 分 配 ) 。 使 用 info 查 看 所 有 节点 的 信息 : 











$ docker -H 192.168.0.2:12375 info 
Containers: 18 
Images: 36 
Role: primary 
Strategy: spread 
Filters: health, port, dependency, affinity, constraint 
Nodes: 2 
Host-1: 192.168.0.2:2375 
L Containers: 15 
L Reserved CPUs: 0 / 4 
L Reserved Memory: 1 GiB / 4.053 GiB 
L Labels: executiondriver=native-0.2, kernelversion=3.16.0-43-generic, 
operatingsystem=Ubuntu 14.04.3 LTS, storagedriver=aufs 
Host-2: 192.168.0.3:2375 
L Containers: 3 
L Reserved CPUs: 0 / 8 
L Reserved Memory: © B / 16.46 GiB 
L Labels: executiondriver=native-0.2, kernelversion=3.16.0-30-generic, 
operatingsystem=Ubuntu 14.04.3 LTS, storagedriver=aufs 
CPUs: 12 
Total Memory: 20.51 GiB 
Name: 1e1ca8c4117b 








结果 输出 显示 这 个 集群 目前 只 有 两 个 节点 ， 地 址 分 别 是 192.168.0.2 
和 192.168.0.3。 


类 似 地 ， 也 可 以 通过 Compose 模 板 来 启动 多 个 服务 。 不 过 请 注意 ， 
要 想 让 服务 分 布 到 多 个 Swarm 节 点 上 ， 需 要 采用 版 本 2 的 写法 。 


6. 使 用 网 络 


为 了 文 持 路 主机 的 网 络 ，Swarm 默 认 采 用 了 overlay 网 络 类 型 ， 实 现 
上 通过 vxlan 来 构建 联通 整个 Swarm 集群 的 网 络 。 


首先 在 集群 中 的 所 有 节点 上 添加 配置 Docker daemon 选 项 : 





--cluster-store=<DISCOVERY_HOST:PORT> --cluster-advertise=<DOCKER_DAEMON_HOST:PORT> 





以 consul 服 务 为 例 ， 可 能 类 似 : 





--Cluster-store=consul://<consul 服 务 地 址 >:8560 --cluster-advertise=192.168.0.3:2375 





之 后 重启 Docker 服 务 。 首 先 创 建 一 个 网 络 : 





$ docker -H 192.168.0.2:12375 network create swarm network 





查看 网 络 ， 将 看 到 一 个 overlay 类 型 的 网 络 : 





$ docker -H 192.168.0.2:12375 network 1s 
NETWORK ID NAME DRIVER 
6edf2d16ec97 swarm_network overlay 
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上 ， 并 且 彼 此 联通 。 


25.4 使 用 其 他 服务 及 现 后 问 

Swarm 目前 可 以 支持 多 种 服务 发 现 后 端 ， 这 些 后 端 在 功能 上 都 是 一 
致 的 ， 即 维护 属于 某 个 集群 的 节点 信息 。 不 同 的 方案 并 无 优 劣 之 分 ， 在 
实际 使 用 时 ， 可 以 结合 自身 需求 和 环境 限制 进行 选择 ， 其 至 自己 定制 其 
方案 。 

使 用 中 可 以 通过 不 同 的 路 径 来 选择 特定 的 服务 发 现 后 端 机 制 |: 


-token://<token>: 使 用 Docker Hub 提 供 的 服务 ， 适 用 于 可 以 访问 公 
网 的 情况 ; 


-file://path/to/file: 使 用 本 地 文件 ， 需 要 手动 管理 ; 

- consul://<ip>/<path>: 使 用 Consul 服 务 ， 私 有 环境 推荐 ; 

- etcd://<ip1>,<ip2>/<path>: 使 用 Etcd 服 务 ， 私 有 环境 推荐 ; 

- Zk://<ip1>,<ip2>/<path>: 使 用 ZooKeeper 服 务 ， 私 有 坏 境 推 荐 ; 


‘[nodes://]<ip1>,<ip2>: 手动 指定 集群 中 节点 的 地 址 ， 方 便 进 行 服 
务 测试 。 

1. 使 用 文件 

使 用 本 地 文件 的 方式 十 分 简单 ， 就 是 将 所 有 属于 某 个 集群 的 节点 的 


Docker daemon 信 息 写 入 一 个 文件 中 ， 然 后 让 manager 从 这 个 文件 中 直接 
读 取 相关 信息 。 


首先 ， 在 Swarm 管理 节点 (192.168.0.2) 上 新 建 一 个 文件 ， 把 要 加 
入 集群 的 机 器 的 Docker daemon 信 息 写 入 文件 : 


$ tee /tmp/cluster_info <<-'EOF' 
192.168.0.2:2375 
192.168.0.3:2375 

EOF 


然后 ， 本 地 执行 swarm manage 命 令 ， 并 指定 服务 发 现 机 制 为 本 地 文 
件 。 注 意 ， 因 为 是 容器 方式 运行 nanager， 需 要 将 本 地 文件 挂 载 到 容器 





$ docker run -d -p 12375:2375 -v /tmp/cluster_info:/tmp/cluster_info swarm 
manage file:///tmp/cluster_info 





接 下 来 就 可 以 通过 使 用 Swarm 服务 来 进行 管理 了 ， 例 如 使 用 info 碍 
看 所 有 节点 的 信息 : 








$ docker -H 192.168.0.2:12375 info 
Containers: 18 
Images: 36 
Role: primary 
Strategy: spread 
Filters: health, port, dependency, affinity, constraint 
Nodes: 2 
Host-1: 192.168.0.2:2375 
L Containers: 15 
L Reserved CPUs: 0 / 4 
L Reserved Memory: 1 GiB / 4.053 GiB 
L Labels: executiondriver=native-0.2, kernelversion=3.16.0-43-generic, 
operatingsystem=Ubuntu 14.04.3 LTS, storagedriver=aufs 
Host-2: 192.168.0.3:2375 
L Containers: 3 
L Reserved CPUs: 0 / 8 
L Reserved Memory: © B / 16.46 GiB 
L Labels: executiondriver=native-0.2, kernelversion=3.16.0-30-generic, 
operatingsystem=Ubuntu 14.04.3 LTS, storagedriver=aufs 
CPUs: 12 
Total Memory: 20.51 GiB 
Name: e71leb5f1d48b 





2. 其 他 发 现 服务 后 站 


其 他 服务 发 现 后 端的 使 用 方法 也 是 大 同 小 异 ， 不 同 之 处 在 于 使 用 
Swarm 命令 时 指 定 的 路 径 格 式 不 同 。 


例如 ， 对 于 前 面 介 绍 的 Consul 服 务 后 端 来 说 ， 快 速 部 署 一 个 Consul 
服务 的 命令 为 : 








$ docker run -d -p 8500:8500 --name=consul progrium/consul -server -bootstrap 





BS 
=i 


之 后 创建 Swarm 的 管理 服务 ， 指 定 使 用 Consul 服 务 ， 管 理 端口 监 
在 本 地 的 4000 端 口 : 





$ docker run -d -p 4000:4000 swarm manage -H :4000 --replication --advertise 
<manager_ip>:4000 consul: //<consul_ip>:8500 





Swarm 下 点 注册 时 的 命令 格式 类 似 于 : 





$ swarm join --advertise=<node_ip:2375> consul://<consul_addr>/<optional path prefix> 








对 于 Etcd 服 务 后 问 来 说 ， 节 点 注册 时 的 命令 格式 类 似 于 : 





$ swarm join --addr=<node_addr :2375> etcd://<etcd_addri>, <etcd_addr2>/<optional 
path pr refix> 





局 动 管理 服务 时 ， 格 式 类 似 于 : 





$ swarm manage -H tcp://< “manager ip>:4000 etcd://<etcd_addr1>,<etcd_addr2>/ 
<optional path prefix 





3. 地 址 和 端口 的 范围 匹配 


对 于 基于 文件 和 手动 指定 节点 信息 两 种 服务 发 现 后 端 机 制 来 说 ， 其 
关口 域 可 以 文 持 指定 一 个 范围 ， 以 一 次 性 指定 多 个 地 址 。 例 
Hs 


192.168.0.[2:10]:2375 代 表 192.168.0.2:2375~192.168.0.10:2375 一 共 9 
个 地 址 ; 


192.168.0.2:[2:9]375 代 表 192.168.0.2:2375~192.168.0.2:9375 一 共 8 个 
地 址 。 


25.5 Swarm 中 的 调度 器 
调度 是 集群 十 分 重要 的 功能 ，Swarm 目 前 支持 三 种 调度 策略 : 


spread、binpack 和 random 。 


在 执行 Swarm manage 命 令 司 动 管理 服务 的 时 候 ， 可 以 通过 --strategy 
参数 指定 调度 策略 ， 默 认 的 是 spread。 


简单 来 说 ， 这 三 种 调度 策略 的 优化 目标 如 下 : 


‘spread: 如 末节 点 配置 相同 ， 选 择 一 个 正在 运行 的 容器 数量 最 少 的 
那个 布点， 即 尽 量 平 挫 容 器 到 各 个 节点 ; 


:binpack: 跟 spread 相 反 ， 尽 可 能 地 把 所 有 的 容器 放 在 一 全 节点 上 运 
行 ， 即 尽量 少 用 节点 ， 避 免 容 髓 雁 片 化 。 


‘random: 和 直接 随机 分 配 ， 不 考虑 集群 中 节点 的 状态 ， 方 便 进行 测 
试 使 用 。 


下 面 介 绍 前 两 种 策略 。 
1.spread 调 度 策略 
仍然 以 之 前 创建 好 的 集群 为 例 ， 来 演示 spread 策 略 的 行为 。 


在 192.168.0.2 节 点 启动 管理 服务 ， 管 理 
token: /946d65606f7c2f49766e4dddac5b4365 的 集群 。 











$ docker run -d -p 12375:2375 swarm manage --strategy "spread" token://946d6560 
6f7c2F49766e4dddac5b4365 
c6f25e6e6abbe45c8bcf75ac674f2b64d5f31a5c6070d64ba954a0309b197930 





列 出 集群 中 的 节点 : 





$ docker run --rm swarm list token://946d65606f7c2f49766e4dddac5b4365 
192.168.0.3:2375 
192.168.0.2:2375 





此 时 ， 两 个 节点 上 除了 Swarm 外 都 没有 运行 其 他 容器 。 局 动 一 个 


ubuntu 容器 ; 





$ docker -H 192.168.0.2:12375 run -d ubuntu:14.04 ping 127.0.0.1 
bac3dfda5306181140fc959969d738549d607bc598390F57bdd432d86f16fF069 





查看 发 现 它 实际 上 被 调度 到 了 192.168.0.3 节 点 〈 当 节点 配置 相同 
时 ， 初 始 节点 随机 选择 ) 。 


再 次 启动 一 个 ubuntu 容器 : 








$ docker -H 192.168.0.2:12375 run -d ubuntu:14.04 ping 127.0.0.1 
8247067ba3a31e0cb692a8373405F95920a10389Ce3c2a07091408281695281c 





查看 它 的 位 置 ， 发 现 被 调度 到 了 另外 一 个 节点 : 192.168.0.2_E: 





$ docker -H 192.168.0.2:12375 ps 

CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 

8247067ba3a3  ubuntu:14.04 "ping 127.0.0.1" 1 minutes ago Up 1 minutes 
Host -2/sick_galileo 

bac3dfda5306 ubuntu:14.04 "ping 127.0.0.1" 2 minutes ago Up 2 minutes 
Host -3/compassionate_ritchie 








当 节 点 配置 不 同 的 时 候 ，spread 会 更 愿意 分 配 到 配置 较 高 的 节点 
dee 


2.binpack 调 度 策 略 


现在 来 看 看 binpack 策 略 下 的 情况 。 直 接 局 动 徊 干 ubuntu 容 器 ， 并 得 
看 它们 的 位 置 : 











$ docker -H 192.168.0.2:12375 run -d ubuntu:14.04 ping 127.0.0.1 

$ docker -H 192.168.0.2:12375 ps 

CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 

4c4f45eba866 ubuntu:14.04 "ping 127.0.0.1" 3 minutes ago Up 3 minutes 
Host -3/hopeful_brown 

5e650541233c ubuntu:14.04 "ping 127.0.0.1" 3 minutes ago Up 3 minutes 
Host -3/pensive_wright 

99c5a092530a ubuntu:14.04 "ping 127.0.0.1" 3 minutes ago Up 3 minutes 
Host -3/naughty_engelbart 

4ab392c26eb2 ubuntu:14.04 "ping 127.0.0.1" 3 minutes ago Up 3 minutes 
Host -3/thirsty_mclean 





可 以 看 到 ， 所 有 的 容器 都 是 分 布 在 同一 个 节点 (192.168.0.3) 上 运 


25.6 Swarm 中 的 过 滤器 


Swarm 的 调度 器 可 以 按照 指定 调度 策略 自动 分 配 容器 到 节点 ， 但 有 
些 时 候 希 望 能 对 这 些 分 配 加 以 干预 。 比 如 ， 让 VO 敏感 的 容器 分 配 到 安 
装 了 SSD 的 节点 上 ; 让 计算 敏感 的 容器 分 配 到 CPU 核 数 多 的 机 器 上 ， 全 
人 让 某 些 容器 尽量 放 同 一 个 节点 


这 可 以 通过 过 滤器 (filter) 来 实现 ， 
Constraint, Affinity, Port, Dependency, Health. FEN An AP EAE 
AF o 


1.Constraint 过 滤器 


Constraint 过 滤器 是 BBE BT RA SHER , 相当 于 给 节点 添加 标签 。 
可 在 启动 Docker 服 务 的 时 候 指 定 ， 例 如 指定 某 个 节 点 颜色 六 ed 





$ sudo docker daemon --label color=red -H tcp://0.0.0.0:2375 -H unix:///var/run/ 
docker . sock 





同样 ， 可 以 写 在 Docker 服 务 的 配置 文件 里 面 (以 Ubuntu 14.04 为 
例 ， 是 /etc/default/docker) : 





DOCKER_OPTS="--label color=red -H 0.0.0.0:2375 -H unix:///var/run/docker.sock" 





使 用 Swarm 启动 容器 的 时 人 1 人 采用 -e constarint: key=value 的 形式 ， 
可 以 过 滤 选 择 出 匹配 条 件 的 节点 。 


例如 ， 我 们 将 192.168.0.2 节 点 打上 红色 标签 ，192.168.0.3 节 点 打上 
-~ 然后 ， 分 别 启动 两 个 容器 ， 指定 使 用 过 滤器 分 别 为 红色 和 绿 





$ docker -H 192.168.0.2:12375 run -d -e constraint:color==red ubuntu:14.04 ping 


252f fb48e64e9858c72241f 5eedf6a3e4571b1ad926faf091db3e26672370f64 
$ docker -H 192.168.0.2:12375 run -d -e constraint:color==green ubuntu:14.04 ping 


127.0.0.1 
3d6f8d7af8583416b17061d038545240c9e5c3be7067935d3ef 2Fbddce4b8136 





注意 


指定 标签 中 间 是 两 个 等 号 
查看 它们 将 被 分 配 到 指定 节点 上 ; 





$ docker -H 192.168.0.2:12375 ps 

CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 

252ffb48e64e ubuntu:14.04 "ping 127.0.0.1" 1 minutes ago Up 1 minutes 
Host -2/sick_galileo 

3d6f8d7af858 ubuntu:14.04 "ping 127.0.0.1" 2 minutes ago Up 2 minutes 
Host -3/compassionate_ritchie 





另外 ，Docker 内 置 了 一 些 常 见 的 过 滤器 ， 包 括 node、 
executiondriver、kernelversion、operatingsystem 等 。 这 些 值 可 以 通 
docker info 命 令 查 看 。 


例如 ， 目 前 集群 中 各 个 节点 的 信息 为 : 





$ docker -H 192.168.0.2:12375 info 
Containers: 5 
Images: 39 
Role: primary 
Strategy: spread 
Filters: health, port, dependency, affinity, constraint 
Nodes: 2 
Host-2: 192.168.0.2:2375 
L Containers: 4 
L Reserved CPUs: 0 / 4 
L Reserved Memory: 1 GiB / 4.053 GiB 
L Labels: color=red, executiondriver=native-0.2, kernelversion=3.16.0-43-generic, 
operatingsystem=Ubuntu 14.04.3 LTS, storagedriver=aufs 
Host-3: 192.168.0.3:2375 
L Containers: 1 
L Reserved CPUs: 0 / 8 
L Reserved Memory: © B / 16.46 GiB 
L Labels: color=green, executiondriver=native-0.2, kernelversion=3.16.0-30-generic, 
operatingsystem=Ubuntu 14.04.3 LTS, storagedriver=aufs 
CPUs: 12 
Total Memory: 20.51 GiB 
Name: 946d65606f7c 





2. Affinity WHE 45 


Affinity 过 滤器 允许 用 户 在 启动 一 个 容器 的 时 候 ， 让 它 分 配 到 某 个 
己 有 容器 的 节点 上 。 


例如 ， 下 面 我 们 将 启动 一 个 nginx 容 器 ， 让 它 分 配 到 已 经 运行 某 个 
ubuntu 容 器 的 节点 上 。 








在 Constraint 过 滤器 的 示例 中 ， 我 们 分 别 局 动 了 两 个 ubuntu 容器 
sick_galileo 和 compassionate_ritchie， 分 别 在 Host-2 和 Host-3 上 。 


现在 局 动 一 个 nginx 容 器 ， 让 它 与 容器 sick_galileo 放 在 一 起 ， 都 放 到 
Host-2 节 点 上 。 可 以 通过 -e affinity: container==<name or id> 参 数 来 实 
现 : 





$ docker -H 192.168.0.2:12375 run -d -e affinity:container==sick_galileo nginx 





然后 启动 一 个 redis 容 器 ， 让 它 与 容器 compassionate_ritchie 放 在 一 
起 ， 都 放 到 Host-3 节 点 上 : 





$ docker -H 192.168.0.2:12375 run -d -e affinity:container==compassionate_ 
ritchie redis 





查看 所 有 容 需 的 运行 情况 ， 如 下 所 未: 





$ docker -H 192.168.0.2:12375 ps 


CONTAINER ID IMAGE COMMAND CREATED STATUS 
S NAMES 

0a32f15aa8ee is "/entrypoint.sh redis" 2 seconds ago 
1 seconds 6379/tcp Host-3/awesome_darwin 


Up 
d2b9a53e67d5 nginx "nginx -g 'daemon off" 29 seconds ago 
Up 28 seconds 80/tcp, 443/tcp Host-2/fervent_wilson 
252ffb48e64e ubuntu:14.04 "ping 127.0.0.1" 2 minutes ago 
Up 2 minutes Host-2/sick_galileo 
3d6f8d7af858 ubuntu:14.04 "ping 127.0.0.1" 3 minutes ago 
Up 3 minutes Host -3/compassionate_ritchie 





3. 其 他 过 小 器 


其 他 过 滤器 的 使 用 方法 也 是 大 同 小 异 ， 例 如 通过 -e affinity: 
image==<name or id> 来 选择 拥有 指定 镜像 的 节点 ， 通 过 -e affinity: 
label_name==value 来 选择 拥有 指定 标签 的 容器 所 允许 的 节点 。 


此 外 ， 当 容器 端口 再 要 映射 到 宿主 机 指定 端口 号 的 时 候 ，Swarm 也 
会 目 动 将 容 右 分 配 到 指定 宿主 机 端口 可 用 的 市 反 。 


当 不 同 容器 之 间 存 在 数据 卷 或 链接 依赖 的 时 候 ，Swarm 会 将 这 些 容 
ANAA EAT RAE. 








25.7 ”本章 小 结 


KENA T Docker Swarm 的 安装 、 使 用 和 主要 功能 。 通 过 使 用 
Swarm， 用 户 可 以 将 若干 Docker 主 机 节点 组 成 的 集群 当 作 一 个 大 的 虚拟 
Docker 主 机 使 用 。 并 有 旦 ， 原 先 基于 单机 的 Docker 应 用 可 以 无 颖 地 迁移 到 
Swarm 上 来 。 


实现 这 些 功 能 的 前 提 是 服务 目 动 发 现 能 力 。 在 现代 分 布 式 系统 中 ， 
服务 的 目 动 发 现 、 注 册 、 更 新 等 能 力 将 成 为 系统 的 基本 保障 和 重要 基 
础 。 在 生产 环境 中 ，Swarm 的 管理 节点 和 发 现 服务 后 端 要 采用 高 可 用 性 
的 保护 ， 可 以 采用 集群 模式 。 


值得 一 提 的 是 ，Swarm V2 功 能 已 经 被 无 颖 从 入 到 了 Docker 1.12+ 版 
本 中 ， 用 户 今后 可 以 直接 使 用 Docker 命 令 来 完成 相关 功能 的 配置 ， 这 将 
使 得 集群 功能 的 管理 更 加 简便 。 








第 26 瘟 ”Mesos 





优秀 的 集群 资源 调度 平台 


Mesos 项 目 是 源 自 UC Berkeley 对 集群 资源 进行 抽象 和 管理 的 开源 项 
目 ， 类 似 于 操作 系统 内 核 ， 用 户 可 以 使 用 它 很 容易 地 实现 分 布 式 应 用 的 
自动 化 调度 。 同 时 ，Mesos 自 号 也 很 好 地 结合 了 Docker 等 相关 容器 技 
术 ， 基 于 Mesos 已 有 的 大 量 应 用 框架 ， 可 以 实现 用 户 应 用 的 快速 上 线 。 





本 章 将 介绍 Mesos 项 目的 安装 、 使 用 、 配 置 以 及 核心 的 原理 知识 。 


26.1 简介 


Mesos 最 初 由 UC Berkeley 的 AMP 实 验 室 于 2009 年 发 起 ， 遵 循 Apache 
协议 ， 目 前 已 经 成 立 了 Mesosphere 公 司 进 行 运 营 。Mesos 可 以 将 整个 数 
据 中 心 的 资源 (包括 CPU、 内 存 、 存 储 、 网 络 等 进行 抽象 和 调度 ， 使 
得 多 个 应 用 同时 运行 在 集群 中 分 享 资源 ， 并 无 需 关 心 资源 的 物理 分 布 情 
况 。 


如 果 把 数据 中 心中 的 集群 资源 看 做 一 合 服务 器 ， 那 么 Mesos 要 做 的 
事情 ， 其 实 就 是 今天 操作 系统 内 核 的 职 贡 :“ 抽 象 资源 + 调度 任务 ”。 


Mesos 项 目 主要 由 C++ 语言 编写 ， 项 目 官 方 地 址 
为 http://mesos.apache.org， 代 码 仍 在 快速 演化 中 ， 已 经 发 布 了 正式 版 
1.0.0 版 本 。 

Mesos 拥 有 许多 引 人 注 目的 特性 ， 包 括 : 


支持 数 万 个 节点 的 大 规模 场景 (Apple、Twitter、eBay 等 公司 的 实 
践 ) 。 


: 文 持 多 种 应 用 框架 ， 包 括 Marathon、Singularity、Aurora 等 。 

LHA (基于 ZooKeeper 实 现 ) 。 

- 文 持 Docker、LXC 等 容器 机 制 进行 任务 隔离 。 

.提供 了 多 个 流行 语言 的 API， 包 括 Python、Java、C++ 等 。 

: 自 带 了 简洁 易 用 的 WebUI， 方 便 用 户 直 接 进 行 操作 。 

值得 注意 的 是 ，Mesos 目 喘 只 是 一 个 资源 抽象 的 平台 ， 要 使 用 它 往 
往 需 要 结合 运行 其 上 的 分 布 式 应 用 (在 Mesos 中 被 称 作 框 染 ， 
framework) ， 比 如 Hadoop、Spark、Marathon、Elasticsecrrch 等 大 部 分 
时 候 ， 用 户 只 需要 跟 这 些 框架 打交道 即 可 ， 完 全 无 需 关 心底 下 的 资源 调 


度 情 况 ， 因 为 Mesos 已 经 自动 帮 你 实现 了 。 这 大 大 方便 了 上 层 应 用 的 开 
发 和 运 维 。 





当然 ， 用 户 也 可 以 基于 Mesos 打 造 自 己 的 分 布 式 应 用 框架 。 


26.2 ”Mesos 安 装 与 使 用 


以 Mesos 结 合 Marathon 应 用 框架 为 例 ， 看 一 下 如 何 快速 搭建 一 套 


Mesos 平 台 。 


Marathon 是 可 以 跟 Mesos 一 起 协作 的 一 个 framework， 基 于 Scala 实 
现 ， 可 以 实现 保持 应 用 的 持续 运行 。 

另外 ，Mesos 默 认 利 用 ZooKeeper 来 进行 多 个 主 节 点 之 间 的 选举 ， 以 
及 从 节点 发 现 主 节点 的 过 程 。 一 般 在 生产 环境 中 ， 需 要 启动 多 个 Mesos 
master 服 务 (推荐 3 或 5 个 ) ， 并 且 推 荐 使 用 supervisord 等 进程 管理 器 来 
上 自动 保持 服务 的 运行 。 


ZooKeeper 是 一 个 分 布 式 集群 中 信息 同步 的 工具 ， 通 过 上 自动 在 多 个 
节点 中 选举 leader， 保 障 多 个 节点 之 间 的 某 些 信息 保持 一 致 性 。 


LZE 


安装 时 主要 需要 mesos、zookeeper 和 marathon 三 个 软件 包 。 








Mesos 也 采用 了 经 典 的 “ 主 - 从 ?2 结构， 一 般 包 括 和 若干 主 节点 和 大 量 从 
节点 。 其 中 ，mesos master 服 务 和 zookeeper 需 要 部 草 到 所 有 的 主 节点 ， 
mesos slave 服 务 需 要 部 草 到 所 有 从 节点 。marathon 可 以 部 署 到 主 节 点 。 


安 疼 可 以 通过 源码 编译 、 软 件 源 或 者 Docker 镜 像 方式 进行 ， 下 面 分 
别 进 行 介 绍 。 


(1) 源码 编译 方式 
源码 编译 方式 可 以 保障 获取 到 最 新 版 本 ， 但 编译 过 程 比 较 费 时 间 。 
首先 ， 从 apache.org 开 源 网 站 下 载 最 新 的 源码 : 





$ git clone https://git-wip-us.apache.org/repos/asf/mesos.git 





其 中 ， 主 要 代码 在 src 目 录 下 ， 应 用 框架 代码 在 frameworks 目 录 下 ， 
文档 在 docs 目 录 下 ，include 中 包括 了 跟 Mesos 打 交道 使 用 的 一 些 API 定 义 


头 文 件 。 
安装 依赖 主要 包括 Java 运 行 环境 、Linux 上 的 上 自动 编译 环境 等 : 





$ sudo apt-get update 

$ sudo apt-get install -y openjdk-8-jdk autoconf libtool \ 
build-essential python-dev python-boto libcurl4-nss-dev \ 
libsas12-dev maven libapri-dev libsvn-dev 





后 面 就 是 常规 C++ 项 目的 方法 ， 配 置 之 后 利用 Makefile 进 行 编 译 和 
安装 : 





$ cd mesos 

$ ./bootstrap 

$ mkdir build 

$ cd build && ../configure --with-network-isolator 
$ make 

$ make check && sudo make install 





(2) 软件 源 安装 方式 
通过 软件 源 方式 进行 安装 相对 会 省 时 间 ， 但 往往 不 是 最 新 版 本 。 
这 里 以 Ubuntu 系统 为 例 ， 首 移 添 加 软件 源 地 址 : 





$ sudo apt-key adv --keyserver keyserver ubuntu. com --recv E56151BF 

$ DISTRO=$(lsb_release -is | tr '[:upper:]' '[:lower:]') 

$ CODENAME=$(1lsb_release -cs) 

$ echo "deb http://repos.mesosphere.io/${DISTRO} ${CODENAME} main" | \ 
sudo tee /etc/apt/sources.list.d/mesosphere. list 





刷新 本 地 软件 仓库 信息 并 安装 zookeeper、mesos、marathon 三 个 软 
(FE: 





$ sudo apt-get -y update && sudo apt-get -y install zookeeper mesos marathon 





注意 ，Marathon 最 新 版 本 需要 jdk ”1.8+ 的 支持 。 如 果 系 统 中 有 多 个 
Java 版 本 ， 需 要 检查 配置 默认 的 JDK 版 本 符合 要 求 : 





$ sudo update-alternatives --config java 





安装 Mesos 成 功 后 ， 会 在 /usrsbin/ 下 面 发 现 mesos-master 和 mesos- 
slave 两 个 二 进 制 文件 ， 分 别 对 应 主 节 点 上 需要 运行 的 管理 服务 和 从 节点 


上 需要 运行 的 任务 服务 。 


人 到 行 二 进 制 文件 启动 服务 ， 也 可 以 通过 service 命 令 来 
方便 进行 管理 


例如 ， 在 主 节点 上 重启 mesos 管 理 服 务 : 





$ sudo service mesos-master restart 





通过 service 命 令 来 管理 ， 实 际 上 是 通过 调用 /usr/bin/mesos-init- 
wrapper 脚 本 文件 进行 处 理 。 


(3) 基于 Docker 的 方式 
需要 如 下 三 个 镜像 。 


‘ZooKeeper: https://registry.hub.docker.com/u/garland/zookeeper/. 





‘Mesos: https://registry.hub.docker.com/u/garland/mesosphere-docker- 


mesos-master/ 。 


‘Marathon: _https://registry.hub.docker.com/u/garland/mesosphere- 
docker-marathon/. 


其 中 mesos-master 镜 像 在 后 面 将 分 别 作 为 master 和 slave 角 色 进 行使 
H- 


首先 ， 拉 取 三 个 镜像 ; 





$ docker pull garland/zookeeper 
$ docker pull garland/mesosphere-docker-mesos-master 
$ docker pull garland/mesosphere-docker-marathon 





导出 主 节点 机 器 的 地 址 到 环境 变量 : 





$ HOST_IP=10.0.0.2 





在 主 节点 上 启动 zookeepr 容 器 : 





docker run -d \ 


garland/zookeeper 





在 主 节点 上 局 动 mesos-master 服 务 容器 : 





docker run --net="host" \ 

-p 5050:5050 \ 

e "MESOS_HOSTNAME=${HOST_IP}" \ 
"MESOS_IP=${HOST_IP}" \ 
"MESOS_ZK=zk://${HOST_IP}:2181/mesos" \ 


kE 
oO 


e 
e "MESOS_PORT=5050" \ 

-e "MESOS_LOG_DIR=/var/log/mesos" \ 
-e "MESOS_QUORUM=1" \ 

e "MESOS_REGISTRY=in_memory" \ 

e "MESOS_WORK_DIR=/var/lib/mesos" \ 
-d 


\ 
garland/mesosphere-docker -mesos-master 





在 主 节点 上 启动 Marathon: 





docker run \ 
-d \ 


-p 8080:8080 \ 
garland/mesosphere-docker-marathon --master zk://${HOST_IP}:2181/mesos --zk 
zk://${HOST_IP}:2181/marathon 





在 从 节点 上 启动 mesos slave? 28: 





docker run -d \ 

--name mesos_slave_1 \ 
--entrypoint="mesos-slave" \ 

-e "MESOS_MASTER=zk://${HOST_IP}:2181/mesos" \ 
-e "MESOS_LOG_DIR=/var/log/mesos" \ 

-e "MESOS_LOGGING_LEVEL=INFO" \ 
garland/mesosphere-docker -mesos-master:latest 





接 下 来 ， 可 以 通过 访问 本 地 8080 端 口 来 使 用 Marathon 启 动 任 务 了 。 
2. 配 置 说 明 


下 面 以 本 地 通过 软件 源 方式 安装 为 例 ， 解 释 如 何 修改 各 个 配置 文 


(1) ZooKeepr 


ZooKeepr 是 一 个 分 布 式 应 用 的 协调 工具 ， 用 来 管理 多 个 主 节 点 的 选 
举 和 元 余 ， 监 听 在 2181 端 口 ， 推 荐 至 少 布置 三 个 主 节 点 来 由 ZooKeeper 
维护 。 


配置 文件 默认 都 在 /etczookeeperconf/ 目 录 下 。 比 较 关 键 的 配置 文件 
有 两 个 : myid 和 zoo.cfg。myid 文 件 会 记录 加 入 ZooKeeper 集 群 的 节点 的 
序号 〈1~255 之 间 ) 。 

/Var/lib/zookeeper/myid 文 件 其 实 也 是 软 连接 到 了 该 文件 。 


比如 配置 某 节 点 序号 为 1， 则 需要 在 该 节点 上 执行 : 











$ echo 1 | sudo dd of=/etc/zookeeper/conf/myid 





节点 序号 在 ZooKeeper 集 群 中 必须 唯一 ， 不 能 出 现 多 个 拥有 相同 序 
号 的 节点 。 


另外 ， 需 要 修改 zoo.cfg 文 件 ， 该 文件 是 主 配置 文件 ， 主 要 需要 添加 
上 加 入 ZooKeeper 集 群 中 机 器 的 序号 和 对 应 监听 地 址 。 


例如 ， 现 在 ZooKeeper 集 群 中 有 三 个 节点 ， 地 址 分 别 为 10.0.0.2、 
10.0.0.3、10.0.0.4， 序 号 分 别 配置 为 >、3、4。 则 配置 如 下 的 三 行 : 











rver.2=10.0.0.2:2888:3888 
server .3=10.0.0.3:2888:3888 
rver .4=10.0.0.4:2888:3888 





其 中 第 一 个 端口 2888 负 责 从 节点 连接 到 主 节 点 ; 第 二 个 端口 3888 则 
负责 主 节点 进行 选举 时 候 通信 。 


也 可 以 用 主机 名 形式 ， 则 需要 各 个 节点 /etc/hosts 文 件 中 都 记录 地 址 
到 主机 名 对 应 的 映射 关系 。 


完成 配置 后 ， 启 动 ZooKeeper 服 务 : 





$ sudo service zookeeper start 





(2) Mesos 
Mesos 的 默认 配置 目录 有 三 个 : 
‘/etc/mesos/: 主 节 点 和 从 节点 都 会 读 取 的 配置 文件 ， 最 关键 的 是 zk 





文件 存放 主 节操 的 信息 ; 


-/etc/mesos-master/; 只 有 主 节 点 会 读 取 的 配置 ， 等 价 于 启动 mesos- 
master 命 令 时 候 的 默认 选项 ; 


-/etc/mesos-slave/): 只 有 从 节点 会 读 取 的 配置 ， 等 价 于 启动 mesos- 
master 命 令 时 候 的 默认 选项 。 


最 关键 的 是 需要 在 所 有 节点 上 修改 /etc/mesos/zk， 写 入 主 节 点 集群 
的 ZooKeeper 地 址 列表 ， 例 如 : 








zk://10.0.0.2:2181,10.0.0.3:2181,10.0.0.4:2181/mesos 





IEA, /etc/default/mesos. /etc/default/mesos- 
master、/etc/default/mesos-slave 这 三 个 文件 中 可 以 存放 一 些 环境 变量 定 
义 ，Mesos 服 务 启动 之 前 ， 会 将 这 些 环 境 变量 导入 作为 司 动 参数 。 格 式 
为 MESOS_OPTION_NAME。 


下 面 分 别 说 明 在 主 节点 和 从 市 把 上 的 配置 。 


主 节 点 配置 一般 只 需要 关注 /etc/mesos-master/ 目 录 下 的 文件 。 默 
认 情 况 目录 下 为 空 。 


该 目录 下 文件 命名 和 内 容 需 要 跟 mesos-master 支 持 的 命令 行 选项 一 
一 对 应 。 可 以 通过 mesos-master--help 命 令 查 看 支持 的 选项 。 


例如 某 个 文件 key 中 内 容 为 value， 则 在 mesos-master 服 务 启动 的 时 
候 ， 会 自动 添加 参数 --key=value 给 二 进 制 命令 。 


例如 ，mesos-master 服 务 默认 监听 在 loopback 端 口 ， 即 127.0.0.1: 
5050， 我 们 需要 修改 主 节 点 监听 的 地 址 ， 则 可 以 创建 /etc/mesos- 
masterip 文 件 ， 在 其 中 写 入 主 节 点 监听 的 外 部 地 址 。 


为 了 正常 启动 mesos-master 服 务 ， 还 需要 指定 work_dir 参 数 〈( 表 示 应 
用 框架 的 工作 目录 ) 的 值 ， 可 以 通过 创建 /etc/mesos-master/work_dir 文 
件 ， 在 其 中 写 入 目录 ， 例 如 /varvlib/mesos。 工 作 目 录 下 会 生成 一 个 
replicated_log 目 录 ， 会 存 有 各 种 同步 状态 的 持久 化 信息 。 以 及 指定 
quorum 参 数 的 值 ， 该 参数 用 来 表示 ZooKeeper 集 群 中 要 求 最 少 参 加 表决 











的 节点 数目 。 一 般 设 置 为 比 ZooKeeper 集 群 中 节点 个 数 的 半数 多 一 些 
(比如 三 个 节点 的 话 ， 可 以 配置 为 2) 。 


此 外 ， 要 修改 Mesos 和 集群 的 名 称 ， 可 以 创建 /etc/mesos-master/cluster 
文件 ， 在 其 中 写 入 集群 的 别名 ， 例 如 MesosCluster。 


总 结 一 下 ， 建 议 在 /etcmesos-master 目 录 下 ， 配 置 至 少 四 个 参数 文 


件 : ip, quorum. work_dir. cluster. 


修改 配置 之 后 ， 需 要 局 动 服务 即 可 生效 : 








$ sudo service mesos-master start 





更 多 选项 可 以 参考 后 面 26.4 节 的 配置 项 解析 内 容 。 


主 节 点 服务 启动 后 ， 则 可 以 在 从 节点 上 启动 mesos-slave 服 务 来 加 入 
主 节点 的 管理 。 


从 节点 配置 一 般 只 需要 关注 /etc/mesos-slave/ 目 录 下 的 文件 。 默 认 
情况 下 目录 下 为 空 。 文 件 命名 和 内 容 也 是 跟 主 节点 类 似 ， 对 应 二 进 制 文 
件 支 持 的 命令 今 行 参数 。 


建议 在 从 节点 上 ， 创 建 /etc/mesos-slave/ip 文 件 ， 在 其 中 写 入 跟 主 节 
点 通信 的 地 址 。 


修改 配置 之 后 ， 也 需要 重新 局 动 服务 : 











$ sudo service mesos-slave start 





(3) Marathon 


Marathon 作 为 Mesos 的 一 个 应 用 框架 ， 配 置 要 更 为 简单 ， 必 需 的 配 
置 项 有 --master 和 --zk。 


安装 完成 后 ， 会 在 /usr/bin 下 多 一 个 marathon shell 肢 本， 为 启动 
marathon 服 务 时 候 执行 的 命令 。 


配置 目录 为 /etcmarathon/conf〈 需 要 手动 创建 ) ， 此 外 默认 配置 文 


件 在 /etc/default/marathon。 


我 们 手动 创建 配置 日 录 ， 并 添加 配置 项 (文件 命名 和 内 容 跟 Mesos 
风格 一 致 ; ， 让 Marathon 能 连接 到 已 创建 的 Mesos 集 群 中 : 





$ sudo mkdir -p /etc/marathon/conf 
$ sudo cp /etc/mesos/zk /etc/marathon/conf/master 








同时 ， 让 Marathon 也 将 自身 的 状态 信息 保存 到 ZooKeeper 中 。 创 
建 /etc/marathon/conf/zk 文 件 ， 添 加 ZooKeeper 地 址 和 路 径 : 





zk://10.0.0.2:2181,10.0.0.2:2181,10.0.0.2:2181/marathon 





启动 marathon 服 务 : 





$ sudo service marathon start 





3. 访 问 Mesos 图 形 界面 
Mesos 自 带 了 Web 图 形 界面 ， 可 以 方便 用 户 查 看 集群 状态 。 
用 户 在 Mesos 主 节点 服务 和 从 节点 服务 都 司 动 后 ， 可 以 通过 浏览 句 


访问 主 节 点 5050 端 口 ， 看 到 如 图 26-1 所 示 的 界面 ， 已 经 有 两 个 从 节点 加 
Ila 








Mesos Frameworks Slaves Offers MyCluster 


LES 20150619-192346-1298446857-6060-14153 


Cluster: My Custer Active Tasks 
Server: AIS 51:0 


Version: 0.22.1 iD Name State Started Y 


No active tasks. 


LOG Completed Tasks 
Slaves 


Activated 


ID Name State Started ¥ 


No completed tasks. 


Finished 
Killed 
Failed 
Lost 


Resources 





图 26-1 Mesos 界 面 查 看 加 入 的 从 节点 


通过 Slaves 标 签 页 能 看 到 加 入 集群 的 从 节点 信息 。 
如 果 没 有 启动 marathon 服 务 ， 在 Frameworks 标 签 页 下 将 看 不 到 任何 


rk 


内 容 
4. 访 问 Marathon 图 形 界面 


Marathon 服 务 局 动 成 功 后 ， 在 Mesos 的 Web 界 面 的 Frameworks 标 签 
页 下 面 将 能 看 到 名 称 为 marathon 的 框架 出 现 。 


同时 ， 可 以 通过 浏览 器 访问 8080 端 口 ， 看 到 Marathon 的 管理 界面 ， 
如 图 26-2 所 示 。 


全 MARATHON Aws Depomens se 


Memory (MB) GPUs Tasks | Instances Health 





图 26-2 ”Marathon 图 形 管理 界面 


此 时 ， 可 以 通过 界面 或 者 REST API 来 创建 一 个 应 用 ，Marathon 会 保 
持 该 应 用 的 持续 运行 。 


通过 界面 方式 可 以 看 到 各 任务 支持 的 参数 (包括 资源 、 命 令 、 坏 境 
变量 、 健 康 检查 等 ) ， 同 时 可 以 很 容易 地 修改 任务 运行 实例 数 进行 扩 
展 ， 非 常 适合 进行 测试 ， 参 见 图 26-3。 





Edit Application 


Memory (MiB) Disk Space (MiB) Instances 


Command 


while [true | ; do echo ‘Hello Marathon’ ; sleep 5 ; done 


> Docker container settings 
) Environment variables 

) Labels 

) Health checks 


> Optional settings 


Change and deploy configuration Cancel 





图 26-3 ”在 Marathon 中 查看 任务 支持 的 参数 


i 如 果 要 更 自动 化 地 使 用 Marathon， 则 需 过 它 的 REST API 进 行 操 





一 般 情况 下 ， 启 动 新 任务 需要 先 创 建 一 个 定义 模板 “JSON 格 
式 ) ， 然 后 发 到 指定 的 API。 


例如 ， 示 例 任务 basic-0 的 定义 模板 为 ; 





{ 
"id": "basi 
"cmd": niie. X true ] ; do echo 'Hello Marathon' ; sleep 5 ; done" 
cpus": 0.1, 
mem" 10.0; 


"instances": 1 





该 任务 申请 资源 为 0.1 个 单 核 CPU 资 源 和 10MB 的 内 存 资源 ， 有 具体 命 
令 为 每 隔 五 秒 钟 用 shell 打 印 一 句 Hello Marathon. 


可 以 通过 如 下 命令 发 出 basic-0 任 务 到 Marathon 框 架 ， 框 架 会 分 配 任 
成 功 会 返回 一 个 json 对 象 ， 描 述 任 务 的 
H ak: 





$ curl -X POST http://marathon_host:8080/v2/apps -d @basic-0.json -H "Content- 
type: Secor crenata 


{"id" "/basic-0 cmd" “while [ true ] a do echo 'Hello Marathon' ; sleep 5 
done" "args" ‘null, ruser! snull, "env": {},"instances":1,"cpus":0.1,"mem":10, 
"disk" :0, "executor" "constraints" :[], "uris":[],"storeUrls":[], "ports 


[0], "requirePorts" :false, "backoffSeconds" td, "backoffFactor :1.15, "maxLaunch 
DelaySeconds" :3600, "container" :null, “"healthChecks" :Es "dependencies": Ll 
"Upgradestrategy" wa minimumHealthCapacity" cay ana Ver bey "44, 
"labels": {}," ‘acceptedResourceRoles” null, "version":"2015-12-28T05: 23: 05.8052" 
"tasksStaged":0, rarest :0, "tasksHealthy":0, "tasksUnhealthy": 
"deployments": rg" id": "3ec3fbd5- 11e4- 479f -bd17- 813d33e43e0c" Fly veka :[]}% 





Marathon 的 更 多 REST API 可 以 参考 本 地 自 带 的 文档 : 
http://marathon_host: 8080/api-console/index.html. 


此 时 ， 如 果 运 行 任务 的 从 节点 出 现 故 障 ， 任 务 会 自动 在 其 他 可 用 的 
从 节点 上 启动 。 


此 外 ， 目 前 也 已 经 支持 基于 Docker 容 器 的 任务 。 需 要 先 在 Mesos 
slave 节 点 上 为 slave 服 务 配 置 --containerizers=docker，mesos 参 数 。 


例如 ， 如 下 面 的 示例 任务 : 


{ 
wad Ms "basic 
"cmd": bythone -m http.server 8080" 
cpus 0 
mem" 32. a, 


image": "python:3" 
"network": "BRIDGE", 
"portMappings": [ 

{ 


"containerPort": 8080, 
"hostPort": 31000, 
"servicePort": 0, 
"protocol": "tcp" 

} 


"privileged": false, 
"parameters" 
"ForcepullImage”! true 
} 
} 
} 





该 任务 启动 一 个 python: 3448, 执行 python3-m http.server 8080 命 
令 ， 作 为 一 个 简单 的 Web 服务 ， 实 际 端口 会 映射 到 宿主 机 的 31000 疹 
Ho 


注意 区 分 hostPort 和 servicePort， 前 者 代表 任务 映射 到 本 地 可 用 端口 
(可 用 范围 由 Mesos slave 汇 报 ， 默 认为 31000~32000) ; 后 者 作为 服务 
管理 的 端口 ， 可 以 当做 一 些 服 务 友 行 机 制 使 用 ， 进行 转发 ， 在 整个 
Marathon 和 集群 中 是 唯一 的 。 


任务 执行 后 ， 也 可 以 在 对 应 slave 节 点 上 通过 Docker 命 令 查 看 容器 运 
行情 况 ， 容 器 将 以 mesos-SLAVE_ID 开 头 : 





$ docker ps 

SMTA eee ID IMAGE COMMAND CREATED STATUS 
ORTS NAMES 

1226bdecedmd python:3 "/bin/sh -c 'python3 " 3 days ago Up 3 days 
.0.0.0:10000->8080/tcp mesos -06db0fba-49dc- aaas ad87 -6c2d5a020866- 


se bee ao 2c43-46a2-b652-1a0bc10204b3 





26.3 ”原理 与 架构 


首先 ， 需 要 再 次 强调 ，Mesos 自 映 只 是 一 个 资源 调度 框架 ， 并 非 一 
整套 完整 的 应 用 管理 平台 ， 所 以 只 有 Mesos 上 自己 是 不 能 干 活 的 。 但 是 基 
于 Mesos， 可 以 比较 容易 地 为 各 种 应 用 管理 框架 ， 或 者 为 中 间 件 乎 合 
〈 作 为 Mesos 的 应 用 ) 提供 分 布 式 运行 能 力 ; 同时 ， 由 于 多 个 框架 也 可 
以 同时 运行 在 一 个 Mesos 集 群 中 ， 提 高 了 整体 的 资源 使 用 效率 。 


Mesos 对 自己 的 定位 划分 清楚 ， 使 得 它 要 完成 的 任务 很 明确 ， 其 他 
任务 框架 也 可 以 很 容易 地 与 它 进行 整合 。 


26.3.1 ”架构 














图 26-4 基 本 架构 图 来 和 目 Mesos 官 方 。 


Mesos Architecture 






Framework- 


Mesos All ] i nine 
y y Resource | 


master 11 


图 26-4 ”Mesos 的 基本 架构 


可 以 看 出 ，Mesos 采 用 了 经 典 的 “ 主 - 从 ”(master-slave) 架构 ， 其 中 
主 节 点 (管理 节点 ) 可 以 使 用 ZooKeeper 来 做 HA (高 可 靠 性 ) 。Mesos 











master 服 务 将 运行 在 主 节点 上 ，Mesos slave 服 务 则 需要 运行 在 各 个 计算 
任务 节点 上 。 人 负责 完成 具体 任务 的 应 用 框架 Cframwork) 跟 Mesos 
master 进 行 交 互 ， 来 申请 资源 。 


26.3.2 ”基本 单元 


Mesos 中 有 三 个 基本 的 组 件 管理 服务 (master) 、 任 务 服务 
(slave) 以 及 应 用 框架 (framework) 。 


跟 大 部 分 分 布 式 系统 中 类 似 ， 主 节点 Gnaster) 起 到 管理 作用 ， 将 
看 到 全 局 的 信息 ， 人 负责 不 同 应 用 框架 之 间 的 资源 调度 和 好 辑 控制 。 应 用 
框架 需要 注册 到 管理 服务 上 才能 被 使 用 。 用 户 和 应 用 需要 通过 主 市 皮 所 
供 的 API 来 获取 集群 状态 和 操作 集群 资源 。 


slave 负 责 汇报 本 从 节点 上 的 资源 状态 《空闲 资源 、 运 行 状态 等 等 ) 
给 主 节 点 ， 并 负责 隔离 本 地 资源 来 执行 主 节 点 分 配 的 具体 任务 。 隔 离 机 
制 目前 包括 各 种 容 吉 机 制 ， 包 括 LXC、Docker 等 。 

应 用 框架 (framework) 是 实际 干 活 的 ， 包 括 两 个 主要 组 件 : 

:调度 器 (scheduler) : 注册 到 主 节点 ， 等 待 分 配 资 源 ; 


-执行 器 (executor) : 在 从 市 点 上 执行 框架 指定 的 任务 (框架 也 可 
以 使 用 Mesos 自 带 的 执行 器 ， 包 括 shell 脚 本 执行 器 和 Docker 执 行 器 ) 。 


应 用 框架 可 以 分 两 种 : 一 种 是 对 资源 的 需求 ， 是 会 扩展 的 (如 
Hadoop、Spark 等 ) ， 申 请 后 还 可 能 调整 ， 男 一 种 是 对 资源 需求 大 小 是 
固定 的 (如 MPI 等 ) ， 一 次 申请 即 可 。 


26.3.3 ”调度 

对 于 一 个 资源 调度 框架 来 襄 ， 最 核心 的 就 是 调度 机 制 ， 怎 么 能 快速 
高 效 地 完成 对 某 个 应 用 框架 资源 的 分 配 ， 是 核心 竞争 力 所 在 。 最 理想 情 
况 下 (大 部 分 时 候 都 无 法 实现 ) ， 最 好 是 能 猪 到 应 用 的 实际 需求 ， 实 现 
最 大 化 的 资源 使 用 率 。 


Mesos 为 了 实现 尽量 优化 的 调度 ， 采 取 了 两 层 的 调度 算法 。 











1. 算 法 基本 过 程 


调度 的 基本 思路 很 简单 ，master 先 全 局 调度 一 大 块 资源 给 某 个 
frameworkk，framework 自 己 再 实现 内 部 的 细 粒 度 调度 ， 决 定 哪个 任务 用 
多 少 资 源 。 两 层 调 度 简化 了 Mesos master 自 身 的 调度 过 程 ， 通 过 将 复杂 
的 细 粒 度 调 度 交 由 framewo 水 实现 ， 避 人 免 了 Mesos master 成 为 性 能 瓶颈 。 


调度 机 制 文 持 插 件 机 制 来 实现 不 同 的 策略 。 默 认 是 Dominant 


Resource Fairness (DRF) £. 
2. 调 度 过 程 


调度 通过 offer 发 送 的 方式 进行 交互 。 一 个 offer 是 一 组 资源 ， 例 如 <1 
CPU, 2 GB Mem>。 基 本 调度 过 程 如 下 : 


1) slave 节 点 会 周期 性 汇报 自己 可 用 的 资源 给 master; 


2) 某 个 时 候 ，master 收 到 应 用 框架 发 来 的 资源 请 求 ， 根 据 调度 策 
略 ， 计 算出 来 一 个 资源 offer 给 framework:; 


3) framework 收 到 offer 后 可 以 决定 要 不 要 ， 如 果 接 受 的 话 ， 返 回 一 
个 描述 ， 说 明 自 己 希 望 如 何 使 用 和 分 配 这 些 资源 来 运行 某 些 任务 〈 可 以 
说 明 只 和 希望 使 用 部 分 资源 ， 则 多 出 来 的 会 被 master 收 回 ) ; 


4) 最 后 ，master 则 根据 framework 答 复 的 具体 分 配 情况 发 送 给 
slave， 以 使 用 framework 的 executor 来 按照 分 配 的 资源 策略 执行 任务 。 


具体 给 出 一 个 例子 ， 某 从 节点 向 主 节点 汇报 自己 有 <4 CPU, 8 GB 
Mem> 的 空闲 资源 ， 同 时 ， 主 节点 看 到 某 个 应 用 框架 请 求 <3 CPU, 6 GB 
Mem>， 就 创建 一 个 offer<slave#1，4 CPU, 8 GB Mem> 把 满足 的 资源 发 
给 应 用 框架 。 应 用 框架 〈 的 调度 器 ) 收 到 offer 后 觉得 可 以 接受 ， 就 回复 
主 节 点 ， 并 告诉 主 节点 希望 运行 两 个 任务 : 一 个 占用 <1 CPU, 2 GB 
Mem>， 另 一 个 占用 <2 CPU, 4 GB Mem>。 主 节点 收 到 任务 信息 后 分 配 
任务 到 从 节点 上 进行 运行 〈 实 际 上 是 应 用 框架 的 执行 器 来 负责 执行 任 
务 ) 。 任 务 运 行 结束 后 可 将 资源 释放 出 来 。 剩 余 的 资源 还 可 以 继续 分 配 
给 其 他 应 用 框架 或 任务 。 


应 用 框架 在 收 到 offer 后 ， 如 果 offer 不 满足 自己 的 偏好 (例如 希望 继 














续 使 用 上 次 的 slave 节 点 ) ， 则 可 以 选择 拒绝 offer， 等 待 master 发 送 新 的 
offer 过 来 。 另 外 ， 可 以 通过 过 滤器 机 制 来 加 快 资源 的 分 配 过 程 。 


3. 过 滤器 


framework 可 以 通过 过 滤器 机 制 告诉 master 它 的 资源 偏好 ， 比 如 希望 
分 配 过 来 的 offerx 有 哪个 资源 ， 或 者 至 少 有 多 少 资 源 等 。 


过 滤器 可 以 避免 东 些 应 用 资源 长 期 分 配 不 到 所 需要 的 资源 的 情况 ， 
加 速 整个 资源 分 配 的 交互 过 程 。 


4. 回 收 机 制 
为 了 避免 人 条 些 任务 长 期 占用 集群 中 资源 ，Mesos 也 支持 回收 机 制 。 


主 市 把 可 以 定期 回收 计算 市 点 上 的 任务 所 占用 的 资源 ， 可 以 动态 调 
整 长 期 任务 和 短期 任务 的 分 布 。 


26.3.4 ”高 可 用 性 


从 架构 上 看 ， 最 为 核心 的 节点 是 master 节 点 。 除 了 使 用 ZooKeeper 来 
解决 单 点 失效 问题 之 外 ，Mesos 的 master 节 点 自身 还 提供 了 很 高 的 鲁 棒 
性 。 


Mesos master 节 点 在 重启 后 ， 可 以 动态 通过 slave 和 framework 发 来 的 
消息 重建 内 部 状态 ， 虽 然 可 能 导致 一 定 的 时 延 ， 但 这 避免 了 传统 控制 节 
点 对 数据 库 的 依赖 。 


当然 ， 为 了 减少 master 节 点 的 负载 过 大 ， 在 集群 中 slave 节 点 数目 较 
多 的 时 候 ， 要 避免 把 各 种 通知 的 周期 配置 得 过 短 。 在 实践 中 ， 可 以 通过 
部 车 多 个 Mesos 集 群 来 保持 单个 集群 的 规模 不 要 过 大 。 


UI DREF 算 法 细节 可 以 参考 论文 《Dominant Resource Fairness: Fair 
Allocation of Multiple Resource Types》， 其 核心 思想 是 对 不 同类 型 资源 
进行 多 个 请 求 ， 计 算 请 求 的 主 资源 类 型 ， 然 后 根据 主 资源 进行 公平 分 
配 。 











26.4 ”Mesos 配 置 项 解析 
Mesos 支 持 在 运行 时 通过 命令 行 参 数 形式 提供 的 配置 项 。 如 果 是 通 
过 系统 服务 方式 启动 ， 也 支持 以 配置 文件 或 环境 变量 方式 给 出 。 当 然 ， 
实际 上 最 终 是 提取 为 命令 行 参数 传递 给 局 动 命令 。 


Mesos 的 配置 项 分 为 三 种 类 型 : 通用 项 (master 和 slave 都 文 持 ) 、 
master 专 属 项 ， 以 及 slave 专 属 项 。 


Mesos 配 置 项 比较 多 ， 下 面 对 一 些 重 点 配置 进行 描述 。 少 数 为 必 备 
项 ， 意 味 看 必须 给 出 配置 值 ， 男 外 一 些 是 可 选 配置 ， 自 己 和 市 有 默认 值 。 


26.4.1 通用 项 


通用 项 数量 不 多 ， 主 要 涉及 服务 绑 定 地 址 和 日 志 信 息 等 ， 参 见 表 
26-1. 





4226-1 Mesos 配 置 通 用 项 


配置 项 
--advertise ip=VALUE 
--advertise port=VALUE 


--external log file=VALUE 
--firewall rules=VALUE endpoint 


--ip=VALUE 
--log dir=VALUE 


--logbufsecs=VALUE buffer 





-logging level=VALUE 


--port=VALUE 


26.4.2 master 专属 项 


说 g 
可 以 通过 该 地 址 访问 到 服务 ， 比 如 应 用 杠 染 访问 到 master 节点 
加 以 通过 该 端口 访问 到 服务 
指定 存储 日 志 的 外 部 文件 ， 可 通过 Web 界面 查看 
防火 增 规则 ，VALUE 可 以 是 JSON 格式 或 者 存 有 ISON 格式 的 


文件 路 径 


RA EBAY IP 地 址 ， 用 来 鉴 听 外 面 过 来 的 请 求 
志文 件 路 径 ， 如 果 为 空 (默认 值 ) 则 不 存储 日 志 到 本 地 
多 少 各 的 日 志 ， 然 后 写 人 本 地 
芯 记 录 的 最 低级 别 
PEM AH, master 默认 是 5050，slave 默认 是 5051 


这 些 配 置 项 是 针对 主 节点 上 的 Mesos master 服 务 的 ， 围 线 高 可 用 、 
注册 信息 、 对 应 用 框架 的 资源 管理 等 。 用 户 应 该 根据 本 地 主 节点 资源 情 


况 来 合理 地 配置 这 些 选 项 。 


息 
JOY 





用 户 可 以 通过 mesos-master--help 命 令 来 获取 所 有 支持 的 配置 项 信 


必须 指定 的 配置 项 有 三 个 ， 其 他 为 可 选 。 参 见 表 26-2。 


表 26-2 Mesos 配 置 master 专 属 项 


配置 项 
—-quorum=VALUE 


~-work dir=VALUE 


-~zk=VALUE 


--acls=VALUE 

--allocation interval=VALUE 
--allocator=VALUE 
--[{no-]authenticate 
--[no-]authenticate slaves 
--authenticators=VALUE 
--cluster=VALUE 
--credentials=VALUE 
--external log file=VALUE 
--framework sorter=VALUE 
--hooks=VALUE 
--hostname=VALUE 
--[no-]log_ auto initialize 
--modules=VALUE 

--offer timeout=VALUE 
--rate limits=VALUE 


说 上 明 
必 备 项 ， 使 用 基于 replicated-Log 的 注册 表 (HAJH ZooKeeper 


实现 HA) 时 ,参与 投票 时 的 最 少 节点 个 数 


必 备 项 ， 注 册 表 持久 化 信息 存储 位 图 
必 备 项 ， 如 果 主 节点 为 HA 模式， 指定 ZooKeepr 的 服务 地 址 ， 支 


持 多 个 地 址 ,之 间 用 逗号 隔离 ， 例 如 zk://username:password@host! : 
portl, host2:port2, .…/path。 还 可 以 为 存 有 路 和 从 信息 的 文件 路 径 


ACL 规则 或 所 在 文件 

执行 allocation 的 间隔 ， 默 认为 1sec 

分 配 机 制 ， 黑 认为 HierarchicalDRF 

是 否 允许 非 认 证 过 的 framework 注册 

是 否 允 许 非 认证 过 的 slaves 注册 

对 framework 或 salves 进行 认证 时 的 实现 机 制 
集群 别名 ， 显 示 在 Web 界面 上 供用 户 识别 的 
存储 加 密 后 赁 证 的 文件 的 路 向 

采用 外 部 的 日 志文 件 

给 定 framework 之 间 的 资源 分 配 策 略 

master 中 安装 的 hook 模块 

master 节点 使 用 的 主机 名 ， 不 配置 则 从 系统 中 获取 
是 否 自动 初始 化 注册 表 需 杰 的 replicated 日 志 

要 加 载 的 模块 ,支持 文 件 路 径 或 者 JSON 

offer 撤销 的 超时 

framework 的 速率 限制 ， 即 query per second (qps) 


--recovery slave_removal limit=| 限制 注册 表 恢 复 后 可 以 移 除 或 停止 的 slave 数目 ， 超 出 后 master 
VALUE BRM, WUE 100% 

没有 完成 健康 度 检查 时 候 被 移 除 的 速率 上 上限 ， 例 如 1/10mins 代表 
每 十 分 钟 最 多 有 一 个 

注册 表 信 息 的 持久 化 策略 ， 默 认为 replieated log 存放 本 地 ， 还 可 
LA in_memory 放 在 内 存 中 

访问 注册 表 失 败 超 时 

存储 注册 表 失 败 超时 

是 否 按照 注册 表 中 持久 化 信息 执行 操作 ， 默认 为 false 

集群 中 framework 可 以 所 属 的 分 配角 色 

TERE LEZE framework, WRIA true 

--slave reregister timeout=| 新 的 lead master 节点 选举 出 来 后 ， 多 久之 内 所 有 的 slave 需要 注 
VALUE 册 ， 超 时 的 salve 将 被 移 除 并 关闭 .默认 为 10mins 
在 用 户 之 间 分 配 资源 的 策略 ,默认 为 drf 
实现 的 文件 目录 所 在 ， 默 认为 /usrilocal/share/mesos/webui 
各 个 角色 的 权重 
文件 路 径 ， 包 括 发 送 offer 的 slave 名 单 ， 默 认为 None 


--slave removal rate limit= 
VALUE slave 


--registry=VALUE 


--registry fetch timeout=VALUE 
--registry store timeout=VALUE 
--[no-]registry strict 
--roles=VALUE 


--[no-]root_ submissions root 


--user sorter=VALUE 
--webui dir=VALUE webui 
--weights=VALUE 
-~-whitelist=VALUE 


配置 项 说 =A 
--zk session timeout=VALUE session 超时 ， 默 认为 10secs 
配置 了 --with-network-isolator 时 可 用 ， 限 制 每 个 slave 同时 执行 任 
--max executors per slave=VALUE me 


下 面 给 出 一 个 由 三 个 节点 组 成 的 master 集 群 典型 配置 ， 工 作 有 目录 指 
定 为 /mp/mesos， epee 称 为 mesos_cluster: 








ee 
ae zk: $7710. 0.0.2:2181,10.0.0.3:2181,10.0.0.4:2181/mesos \ 
-quo 


-WO ere tir Beda lil s\ 
--clus re luster 





26.4.3 slave Ẹ JEI 

slave 节 点 支持 的 配置 项 是 最 多 的 ， 因 为 它 所 完成 的 事情 复杂 。 这 些 
配置 项 既 包 括 跟 主 节点 打交道 的 一 些 参数 ， 也 包括 对 本 地 资源 的 配置 ， 
包括 隔离 机 制 、 本 地 任务 的 资源 限制 等 。 


ii 户 可 以 通过 mesos-slave--help 命 令 来 获取 所 有 支持 的 配置 项 信 





ca 


必 备 项 就 一 个 : --master=VALUE，master 所 在 地 址 ， 或 对 应 
J 或 文件 路 径 ， 可 以 是 列表 。 其 他 为 可 选项 ， 参 内 
26-3. 


4226-3 Mesos 配 置 slave 专 属 项 


配置 项 说 朋 
--attributes=VALUE 机 器 届 性 
--authenticatee=VALUE HR master 进行 认证 时 候 的 认证 机 制 
--[no-]cgroups enable cfs | 采用 CFS 进行 带宽 限制 时 候 对 CPU 次 源 进行 限制 ， WAY false 
--cgroups hierarchy=VALUE | cgroups 的 目录 根 位 置 ， 默 认为 SysMfscgroup 
--[no-]cgroups limit swap | 限制 内 存 和 swap， 默 认为 fakse， 只 限制 内 存 
--cgroups root=VALUE 根 cgroups 的 名 称 ， 默 认为 mesos 
--container disk Watch 


fy Rs A aie ah biat aa 
panei Wb AAA 


采用 外 部 隔离 机 制 ( ~-isolation=extemal) 时 候 ， 外 部 容器 机 制 执行 文件 


--containerizer path=VALUE 


路 经 
--containerizers=VALUE 可 用 的 容器 实现 机 制 ， 包 括 mesos, extemal, docker 
--credential=VALUE 加 密 后 赁 证 ,或 者 所 在 文件 路 径 
--default contai image= 
oe RADA, (sah 


--default container info= 
VALUE 


--default role=VALUE 资源 默认 分 配 的 角色 


EWN 


配置 项 
--disk_ watch_interval= 
VALUE 
-~-docker=VALUE 


--docker remove delay= 
VALUE 


--[no-]docker_ kill orphans 


--docker sock=VALUE 
--docker mesos _image=VALUE 


--docker_sandbox directory= 
VALUE 

--docker stop timeout= 
VALUE 

--[no-jJenforce container_ 
disk quota 

--executor registration_ 
timeout=VALUE 

--executor shutdown_grace_ 
period=VALUE 

--external log file=VALUE 

--fetcher cache size=VALUE 

--fetcher cache dir=VALUE 

--frameworks home=VALUE 

--gc_delay=VALUE 

--gc_disk_ headroom=VALUE 


--hadoop_home=VALUE 


--hooks=VALUE 
--hostname=VALUE 


--isolation=VALUE 


--launcher_dir=VALUE 
--image_providers=VALUE 
-~-oversubscribed resources _ 
interval=VALUE 
-~-modules=VALUE 
--perf_duration=VALUE 
--perf events=VALUE 
--perf_interval=VALUE 
--gos_controller=VALUE 
--gos_correction interval 


min=VALUE 


S 


说 明 
硬盘 合用 情况 的 周期 性 检查 间隔 ， 默 认为 1mins 
docker 执行 文件 的 路 径 
删除 容器 之 前 的 等 待 时 间 ， 默 认为 6hrs 


清除 狐 儿 容器 ， 默 认为 true 
docker sock 地 址 ， 上 默认 为 /varrunydockersock 
运行 slave 的 docker 镜像 ， 如 果 被 配置 ，docker 会 假定 slave 运行 在 一 


个 docker 容器 里 


sandbox 映射 到 容器 里 的 哪个 路 径 

停止 实例 后 等 待 多 久 执 行 kill 操作 ,默认 为 0sees 

是 否 启 用 容器 配额 限制 ， 默认 为 false 

执行 应 用 最 多 可 以 等 多 处 再 注册 到 slave， 和 否则 停止 它 ， 默 认为 1mins 


执行 应 用 停止 后 ， 等 竺 多久， 默认 为 Ssecs 


外 部 日 志文 件 

fetcher 的 cache 大 小 ， 默 认为 2GB 

fetcher cache 文件 存放 目录 ， 默 认为 /tmp/mesositeteh 

热 行 应 用 前 添加 的 相对 路 径 ， 默 认为 空 

多 入 清理 一 次 执行 应 用 目录 ， 默 认为 1weeks 

调整 计算 最 大 执行 应 用 目录 年 龄 的 硬盘 留 空 是 ,默认 为 0.1 

hadoop AKAR. RUAT., 会 日 动 查找 HADOOP_HOME 或 者 从 系 


统 路 径 中 查找 


安装 在 master 中 的 hook 模块 列表 
slave 节点 使 用 的 主机 名 
隔离 机 制 ， 例 如 posixicpuposix/mem (默认 ) 或 者 cgroupsicpu,cgroups/ 


mem, external 等 


mesos 可 执行 文件 的 路 径 ， 默 认为 /usrflocalilibimesos 
支持 的 容器 镜像 机 制 ， 例如 'APPC,DOCKER' 


slave 节点 定期 汇报 超 配 资源 状态 的 周期 


要 加 载 的 模块 ， 支 持 文件 路 径 或 者 JSON 

perf 采样 时 长 、 必须 小 于 perf_interval， 默 认为 10secs 
perf 采样 的 事件 

perf FEE AY W f HTA 

超 配 机 制 中 保障 Qos 的 控制 器 名 


Qos 控制 器 纠正 超 配 资源 的 最 小 间隔 ， 默 认为 0secs 


( 续 ) 


配置 项 说 AR 
p 问 复 后 是 否 重 连 旧 的 执行 应 用 ，reconnect (默认 值 ) EEE, cleanup iif 
除 旧 的 执行 器 并 退出 

slave 恢复 时 的 超时 ， 太 入 则 所 有 相关 的 执行 应 用 将 自行 退出 ， 默 认为 
~-recovery timeout=VALUE Ismin 
~-registration backoff factor=| Hi master 进行 注册 时 候 的 重 试 时 间 间 隔 算法 的 因子 ， 默 认为 Isecs, 采 

VALUE 用 随机 指数 算法 ， 最 长 Imims 

“-resource monitoring interval= 


VALUE 周期 性 监测 执行 应 用 资源 使 用 情况 的 间隔 ， 默 认为 1secs 
--resources=VALUE 每 个 slave WRAYI, HOWE BLIGE BRIA (31000, 32000) 


lags 1 l 
no-Jrevocable cpu tOn] aea CPU EAEE, MIY me 


priority 
~-slave_subsystems=VALUE | slave 运行 在 哪些 cgroup 子 系统 中 ， 包 括 memory, cpuacct $, MUAS 
--[no-]strict 是 否认 为 所 有 错误 都 不 可 忽略 ， 默 认为 tue 
--[no-]switch_user 用 提交 任务 的 用 户 身份 来 运行 ， 默 认为 tue 
~-work dir=VALUE framework 的 工作 目录 ， 默 认为 /tmp/mesos 


--ephemeral_ ports per | 分 配给 一 个 容 回 的 临时 端口 的 最 大 数目 ， 需 要 为 2 ARCH (默认 为 
container=VALUE 1024 ) 

~-eth0_name=VALUE public (MERA REC 26K, MURAI AUR EL EITAN 

--lo name=VALUE loopback 网 卡 名 称 

--egress_rate_limit_per_| 每 个 容器 的 输出 流量 限制 速率 限制 KJH fq codel 算法 来 限 速 )， 单 位 
container=VALUE ef WARES 

~-(no-]-egress unique flow_| ERARA fr (iat Mt TEACH AST] AY i aR ao) (默认 为 
per container false) 

--[no-]network enable_ 


是 否 采 集 每 个 容器 的 socket 统计 信息 ， 默 认为 ftlse 


socket statistics 


最 后 6 个 选项 需要 配置 --with-network-isolator 一 起 使 用 (编译 时 需要 
局 用 --with-network-isolator 人 参数 ) : 


下 面 给 出 一 个 典型 的 slave 配 置 ， 容 器 为 Docker， 监 听 在 10.0.0.10 地 
址 ， 节 点 上 限制 16 个 CPU、64GB 内 存 ， 容 器 的 非 临时 端口 范围 指定 为 
[31000~32000]， 临 时 端口 范围 指定 为 [32768~57344]， 每 个 容器 临时 端 
口 最 多 为 512 个 ， 并 且 外 出 流量 限 速 为 50MB/s: 





mesos-slave \ 

--master=zk://10.0.0.2:2181,10.0.0.3:2181,10.0.0.4:2181/mesos \ 
--containerizers=docker \ 

--ip=10.0.0.10 \ 

--isolation=cgroups/cpu, cgroups/mem, network/port_mapping \ 
--resources=cpus:16;mem: 64000; ports: [31000-32000] ;ephemeral_ports: [32768-57344] \ 
--ephemeral_ports_per_container=512 \ 

--egress_rate_limit_per_container=50000KB \ 

--egress_unique_flow_per_container 





N SES EAL AC i PR BAN EE KIIN ire BS, hs 
要 在 主机 市 点 上 进行 配置 .; 





$ echo "57345 61000" > /proc/sys/net/ipv4/ip_local_port_range 


LS 


VY A 
YER 


非 临时 端口 是 Mesos 分 配给 框架 ， 绑 定 到 任务 使 用 的 ， 端 口号 往往 
有 明确 意义 ， 临 时 端口 是 系统 分 配 的 ， 往 往 不 太 关 心 具 体 问 口号 。 





26.5 日 志 与 监控 


Mesos 目 壬 提供 了 强大 的 日 志和 监控 功能 ， 茶 些 应 用 框架 也 提供 了 
eee 通过 这 些 接口 ， 用 户 可 以 实时 获知 集群 的 
i > 在。 


日 志文 件 默认 在 /var/log/mesos 目 录 下 ， 根 据 日 志 等 级 带 有 不 同 后 
级 。 用 户 可 以 通过 日 志 来 调试 使 用 re 的 问题 。 一 般 推荐 使 用 -- 
log_dir 选 项 来 指定 日 志 存 放 路 径 ， 并 通过 日 志 分 析 引 擎 来 进行 监控 。 


Mesos 提 供 了 方便 的 监控 接口 ， 供 用 户 查看 集群 中 各 个 节点 的 状 
态 。 下 面 分 别 介绍 两 种 节点 的 监控 。 


(1) Eq 








通过 ht /MASTER_NODE: 5050/metrics/snapshot 地 址 可 以 获取 到 
Mesos 主 节点 的 各 种 状态 统计 信息 ， 包 括 资源 (CPU. TH. A) 使 
用 、 系统 状态 、 从 节点 、 应 用 框架 、 任 务 状态 等 。 


例如 ， 查 看 主 节点 10.0.0.2 的 状态 信息 ， 并 用 jg 来 解析 返回 的 json 对 





$ curl -s http://10.0.0.2:5050/metrics/snapshot |jq . 
{ 


"system/mem_total_bytes": 4144713728, 
"system/mem_free_bytes": 153071616, 
"system/load_5min": 0.37, 

"system/load_imin": 0.6, 

"system/load_15min": 0.29, 
"system/cpus_total": 4, 
"registrar/state_store_ms/p9999": 45.4096616192, 
"registrar/state_store_ms/p999": 45.399272192, 
"registrar/state_store_ms/p99": 45.29537792, 
"registrar/state_store_ms/p95": 44.8336256, 
"registrar/state_store_ms/p90": 44.2564352, 
"registrar/state_store_ms/p50": 34.362368, 


"master/recovery_slave_removals": 1, 
"master/slave_registrations": 0, 
"master/slave_removals": 0 
"master/slave_removals/reason_registered": 0, 
"master/slave_removals/reason_unhealthy": 0, 
"master/slave_removals/reason “unregistered”: 0, 
"master/slave_reregistrations" 
"master/slave_shutdowns_ canceled" : 0, 


"master/slave_shutdowns completed": 1, 
"master/slave_shutdowns_scheduled": 1 





(2) 从 节点 


通过 http:/SLAVE NODE:5051/metrics/snapshot 地 址 可 以 获取 到 


Mesos 从 三 所 的 各 种 状态 统计 信息 ， 包 括 资 源 、 系 统 状 态 、 各 种 消 轧 状 


态 等 。 


例如 ， 查 看 从 节点 10.0.0.10 的 状态 信息 ， 如 下 所 示 : 





$ curl -s http://10.0.0.10:5051/metrics/snapshot |jq 

{ 
"system/mem_total_bytes": 16827785216, 
"system/mem_free_bytes": 3377315840, 
"system/load_5min": 0.11, 
"system/load_imin": 0.16, 
"system/load_15min": 0.13, 
"system/cpus_total": 8, 
"slave/valid_status_updates": 11, 
"slave/valid_framework_messages": 0, 
"slave/uptime_secs": 954125.458927872, 
"slave/tasks_starting": 0, 
"slave/tasks_staging": 0, 
"slave/tasks_running": 1, 
"slave/tasks_lost": 0, 
"slave/tasks_killed": 2, 
"slave/tasks_finished": 0, 
"slave/executors_preempted": 0, 
"slave/executor_directory_max_allowed_age_secs": 403050.709525191, 
"slave/disk_used": 0, 
"slave/disk_total": 88929, 
"slave/disk_revocable_used": 0, 
"slave/disk_revocable_total": 0, 
"slave/disk_revocable_percent": 0, 
"slave/disk_percent": 0, 
"containerizer/mesos/container_destroy_errors": 0, 
"slave/container_launch_errors": 6, 
"slave/cpus_percent": 0.025, 
"slave/cpus_revocable_percent": 0, 
"slave/cpus_revocable_total": 0, 
"slave/cpus_revocable_used": 0, 
"slave/cpus_total": 8, 
"slave/cpus_used": 0.2, 
"slave/executors_registering": 0, 
"slave/executors_running": 1, 
"slave/executors_terminated": 8, 
"slave/executors_terminating": 0, 
"slave/frameworks_active": 1, 
"slave/invalid_framework_messages": 0, 
"slave/invalid_status_updates": 0, 
"slave/mem_percent": 0.00279552715654952, 
"slave/mem_revocable_percent": 0, 
"slave/mem_revocable_total": 0, 
"slave/mem_revocable_used": 0, 
"slave/mem_total": 15024, 
"slave/mem_used": 42, 
"slave/recovery_errors": 0, 
"slave/registered": 1, 
"slave/tasks_failed": 6 





另外 ， 通 过 http:/MASTER_NODE:5050/monitor/statistics.json 地 址 可 
以 看 到 该 从 节点 上 容器 网 络 相关 的 统计 数据 ， 包 括 进 出 流量 、 丢 包 数 、 
队列 情况 等 。 获 取 方 法 同上 ， 在 此 不 再 演示 。 


26.6 ”第 见 应 用 框架 

应 用 框架 是 实际 干 活 的 ， 可 以 理解 为 Mesos 之 上 跑 的 “应 用 *?。 应 用 
框架 注册 到 Mesos master 服 务 上 即 可 使 用 。 用 户 大 部 分 时 候 ， 只 需要 跟 
应 用 框架 打交道 。 因 此 ， 选 择 合适 的 应 用 框架 十 分 关键 。 


Mesos 目 前 文 持 的 应 用 框架 分 为 四 大 类 : 长 期 运行 服务 (以 及 
PaaS) 、 大 数据 处 理 、 批 量 调 度 、 数 据 存储 。 


随 着 Mesos 上 自身 的 发 展 ， 越 来 越 多 的 框架 开始 文 持 Mesos， 表 26-4 总 
结 了 目前 常用 的 一 些 框架 。 


表 26-4 ”Mesos 支 持 的 常见 应 用 框架 








分 类 框 架 说 朋 

项 目 维护 地 址 在 http://auroraiincubator.apache.org 利用 mesos 调度 安排 的 任 
务 ， 保 证 任务 一 直 在 运行 提供 REST 接口 ， 客 户 端 和 webUI ( 8081 端口) 

项 目 维护 地 址 在 https//github.com/mesosphere/marathon 一 个 私有 PaaS 平 
台 ， 保 证 运行 的 应 用 不 被 中 断 。 如 果 任务 停止 了 ， 会 自动 重启 一 个 新 的 相同 
任务 。 支 持 任务 为 任意 bash 命令 ， 以 及 容器 ， 提供 REST 接 口 、 客 户 端 和 
webUL ( 8080 端口 ) 

项 目 维护 地 址 在 https://github.comyHubSpot/Singularity 
Singularity | 一 个 私有 PaaS 平台 。 调 度 各 运行 长 期 的 任务 和 一 次 性 任务 。 提 供 REST 
接口 、 客 户 端 和 webUI (7099, 8080300), 支持 容器 

项 目 维护 地 址 在 https://github.com/nqn/mesos-chapel 

支持 Chapel 并 行 编程 语言 的 运行 框架 

项 目 维 护 地 址 在 https://github.com/douban/dpark 

Spark ff) Python 实现 

项 目 维护 地 址 在 https: //github.com/mesos/hadoop 

经 典 的 map-reduce 模型 的 实现 

项 目 维护 地 址 在 http://sparkincubatorapache.org 
Spark W Hadoop 类 似 ,但 处 理 迁 代 类 型 任务 会 更 好 的 使 用 内 在 做 中 间 状 态 缓存， 
速度 要 快 一 些 

项 目 维护 地 址 在 https://github.com/mesospherelstorm-mesos 

分 布 式 流 计算 ， 可 以 实时 处 理 数 据 流 


Aurora 


Marathon 


Km 


Cray Chapel 


Dpark 


H 
ag 


Storm 


( 线 ) 
分 类 框架 说 明 
项 目 维护 地 址 在 https://github.com/airbnblchronos 
Cron WAWALA, MEERE, LR 
项 目 维护 地 址 在 https://github.com/jenkinsci/mesos-plugin 
Jenkins 大 名 虞 虞 的 CI 引擎 。 使 用 mesos-jenkins 插件 ， 可 以 将 jenkins 的 任务 被 
Mesos 集群 来 动态 油 度 执行 


Chronos 


批量 调度 
-r I HAE DHE http:/Avww.grandlogic.com/content/html_docs/jobserver.html 
obServer creer 
基于 Java 的 调度 任务 和 数据 处 理 引擎 
项 目 维护 地 址 在 https'Wbitbucket orglosalloulgo-docker 
GoDocker | 基于 Docker 容 如 的 集群 维护 工具 。 提 供用 户 接口 ， 除 了 支持 Mesos, WX 
fF Kubernetes, Swarm 等 
man” D HE PUETE https://github.com/mesosphere/cassandra-mesos 
assandra eepe n 
高 性 能 的 分 布 式 数据 库 。 可 扩展 性 很 好 ， 支 持 高 可 用 
项 目 维护 地 址 在 https://github,com/mesosphere/elasticsearch-mesos 
i 功能 十 分 强大 的 分 布 式 数据 搜索 引 蕊 一 方面 通过 分 布 式 集群 实现 可 第 
的 数据 库 ， 一 方面 提供 灵活 的 APL 对 数据 进行 整合 和 分 析 。ElasticSearch + 
i 





LogStash + Kibana 目前 合成 为 ELK 工具 本 


Hypertabl 项 目 维护 地 址 在 https://code.google.com/p/hypertable 
ertable " 时 | 
疝 性 能 的 分 布 式 数据 库 ， 支 持 结构 化 或 者 非 结构 化 的 数据 存储 


Ba 项 目 维护 地 址 在 http://tachyon-project.org/ 
n 。 
E S ERROREA, MATEON 


26.7” 术 登 小 结 


本 章 讲解 了 Mesos 的 安装 使 用 、 基 本 原理 和 架构 ， 以 及 支持 Mesos 
的 重要 应 用 框架 。Mesos 最 初 设计 为 资源 调度 器 ， 然 而 其 灵活 的 设计 和 
对 上 层 框 架 的 优秀 支持 ， 使 得 它 可 以 很 好 地 支持 大 规模 的 分 布 式 应 用 场 
景 。 结 合 Docker，Mesos 可 以 很 容易 部 署 一 套 私 有 的 容器 云 。 


除了 核心 功能 之 外 ，Mesos 在 设计 上 有 许多 值得 借鉴 之 处 ， 比 如 它 
清晰 的 定位 、 简 尘 的 架构 、 细 致 的 参数 、 高 度 容 错 的 可 笔 ， 还 有 对 限 


速 、 监 控 等 的 支持 等 。 


Mesos 作 为 一 套 成 熟 的 开源 项 目 ， 可 以 很 好 地 被 应 用 和 集成 到 生产 
ee ean 

















生产 级 容器 集群 平台 


Kubernetes 是 Google 团 队 发 起 并 维护 的 开源 容 髓 集群 管理 系统 ， 文 
持 如 Docker 等 容器 技术 。 类 似 Docker Swarm， 使 用 Kubernetes， 用 户 可 
以 轻松 搭建 和 管理 一 个 私有 容器 云 。 


本 章 将 介绍 Kubernetes 相 关 的 核心 概念 和 重要 实现 组 件 ， 以 及 如 何 
进行 安装 部 署 。 读 者 通过 学 习 Kubernetes 的 命令 ， 可 以 体会 如 何在 生产 
环境 中 灵活 使 用 Kubernetes 来 提高 应 用 开发 和 部 署 的 效率 。 
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27.1 简介 


Kubernetes 是 Google 公 司 于 2014 年 基于 内 部 集群 管理 系统 Borg 开 源 
的 容 右 集群 管理 项 目 。 该 项 目 基 于 Go 语言 实现 ， 试 图 为 基于 容器 的 应 
用 部 和 获 和 管理 打造 一 套 强 大 并 且 易 用 的 管理 平台 。Kubernetes 自 开源 之 
日 起 就 吸引 了 众多 公司 和 容器 技术 爱好 者 的 关注 ， 是 目前 容器 集群 管理 
最 优秀 的 开源 项 目 之 一 。 已 有 Microsoft、RedHat、IBM、Docker、 
Mesosphere、CoreOS 以 及 SaltStack 等 公司 加 入 了 Kubernetes 社 区 。 


Kubernetes csi 


Kubernetes 的 前 身 (Borgi) 在 Google 内 部 已 经 应 用 了 十 几 年 ， 








积累 了 大 量 来 自生 产 环境 的 宝贵 实践 经 验 。 在 设计 Kubernete 的 时 候 ， 
队 也 很 好 地 结合 了 来 自 社 区 的 想法 。 


正 是 因为 这 些 积累 ， 作 为 一 套 分 布 式 应 用 容器 集群 系统 ， 
Kubernetes 拥 有 鲜明 的 技术 优势 : 


“优秀 的 API 设 计 ， 以 及 简洁 高 效 的 架构 设计 ， 主 要 组 件 个 数 很 少 ， 
彼此 之 间 通 过 接口 调用 ; 





基于 微服 务 模式 的 多 层 资 源 抽 象 模型 ， 兼 顾 赤 活性 与 可 操作 性 ， 
提出 的 Pod 模 型 被 许多 平台 借鉴 ; 


:可 拓展 性 好 ， 模 块 化 容易 替换 ， 伸 缩 能 力 极 佳 ，1.2.0 版 本 单 集 群 
支持 1000 个 节点 ， 同 时 运行 30000 个 Pods; 


“自动 化 程度 高 ， 真 正 实 现 “ 所 得 即 所 需 *， 用 户 通 过 模板 声明 服务 
后 ， 生 命 周 期 都 是 自动 化 管理 ; 


-部署 支 持 多 种 环境 ， 包 括 虚 拟 机 、 裸 机 部 署 ， 还 很 好 地 支持 常见 
云 平台 ， 包 括 AWS、GCE 等 ; 


` 文 持 丰 富 的 运 维 工具 ， 方 便 用 户 对 集群 进行 性 能 测试 、 问 题 检 查 
和 状态 监控 ; 


: 自 带 控制 台 、 客 户 端 命令 等 工具 ， 人 允许 用 户 通 过 多 种 方式 与 
kubernetes 和 集群 进行 交互 。 


基于 Kubernetes， 可 以 很 容易 地 实现 一 套 PaaS， 比 如 Openshift 和 
Deis. 














Kubernetes 目 前 在 github.com/kubernetes/kubernetes 进 行 维护 ， 最 新 
版 本 为 1.3.x。 


2015 年 7 月 发 布 的 1.0 版 本 是 Kubernetes 的 第 一 个 正式 版 本 ， 标 志 着 
核心 功能 已 经 逐渐 成 熟 稳定 ， 可 以 正式 投入 生产 环境 使 用 。 


2016 年 3 月 发 布 的 1.2.0 版 本 ， 在 性 能 、 稳 定性 和 可 管理 性 上 都 有 了 
重大 的 优化 和 升级 ， 包 括 对 多 可 用 域 的 支持 、 监 控 服 务 增强 、 上 千 物 理 
节点 的 文 持 等 令 人 振奋 的 特性 。 本 书 将 以 1.2.x 版 本 系列 为 主 ， 兼 顾 1.3.X 
中 的 新 特性 进行 剖析 和 实践 。 





提示 





Kubernetes 来 自 希 腊 语 ， 是 “领航 员 ” 的 意思 ， 经 常 被 缩写 为 K8S 。 


27.2 ”核心 概念 
Kubernetes 的 核心 概念 见 图 27-1。 


要 想 深 入 理解 Kubernetes 的 特性 和 工作 机 制 ， 首 先 要 掌握 Kubernete 
模型 中 的 核心 概念 。 这 些 核心 概念 反映 了 Kubernetes 设 计 过 程 中 对 应 用 
FS as SERENA o 


ARERR, 从 架构 上 看 ，Kubernetes 集 群 (Cluster) 也 采用 
了 典型 的 “ 主 -从 ”架构 。 一 个 集群 主要 由 管理 组 件 (Master) 和 工作 节点 
(Node) 组 件 构 成 。 


男 外 ，Kubernetes 集 群 的 主要 任务 始终 围绕 着 应 用 的 生命 周期 。 
过 将 不 同 资源 进行 不 同 层次 的 抽象 ， 
周期 管理 。 资 源 的 核心 抽象 主要 包括 : 


:容器 组 (Pod) : 由 位 于 同一 节点 上 吞 干 容器 组 成 ， 彼 此 共享 网 络 
MAT NE fits (Volume) 。Pod 是 Kubernetes 中 进行 管理 的 最 小 资 
源 单位 ， 是 最 为 基础 的 概念 。 跟 容器 类 似 ，Pod 是 短暂 的 ， 随 时 可 变 
的 ; 


:服务 (Service) : AF GIERKA) Pod 形 成 的 对 外 提供 某 
个 功能 的 抽象 ， 不 随 Pod 改 变 而 变化 ， 帝 有 唯一 固定 的 访问 路 径 ， 如 IP 
地 址 或 者 域名 。 


:复制 控制 器 (Replication Controller) : 负责 启动 Pod， 并 维护 其 健 
康 运 行 的 状态 。 是 用 户 管 理 Pod 的 句柄 。 


:部 团 (Deployment) : 创建 Pod， 并 可 根据 参数 自动 创建 管理 Pod 
i lal 并 且 支 持 升 级 。1.2.0 版 本 引入 提供 比 复制 控制 器 更 方便 
SERVE 


:横向 Pod 扩 展 器 (Horizontal Pod Autoscaler, HPA) : 类 似 云 里 面 
的 自动 扩展 组 ， 根 据 Pod 的 使 用 率 〈 典 型 如 CPU) 自动 调整 一 个 部 署 里 
面 Pod 的 个 数 ， 保 障 服 务 可 用 性 ; 
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图 27-1 Kubernetes 的 核心 概念 
此 外 ， 还 有 一 些 管理 资源 相关 的 辅助 概念 ， 主 要 包括 : 


注解 (Annotation) : 键 值 对 ， 可 以 存放 大 量 任意 数据 ， 一 般 用 来 
添加 对 资源 对 象 的 详细 说 明 ， 可 供 其 他 工具 处 理 。 


标签 〈《Label) : 键 值 对 ， 可 以 标记 到 资源 对 象 上 ， 用 来 对 资源 进 
行 分 类 和 筛选 ; 


.名字 (Name) : 用 户 提供 给 资源 的 别名 ， 同 类 资源 不 能 重 名 ; 











命名 空间 (Namespace) : 这 里 是 指 资源 的 空间 ， 避 免 不 同 租户 的 
资源 发 生命 名 冲突 ， 另 外 可 以 进行 资源 限额 ; 


:持久 卷 (PersistentVolume) : XAT Docker PÄHE ERER, 
是 一 个 数据 目录 ，Pod 对 其 有 访问 权限 。 


秘密 数据 《〈Secret) : 存放 敏感 数据 ， 例 如 用 户 认 证 的 口令 等 ; 


:选择 器 (Selector) : 基于 标签 概念 的 一 个 正则 表达 式 ， 可 通过 标 
签 来 筛选 出 一 组 资源 ; 


‘Daemon (DaemonSet) : 确保 节点 上 肯定 运行 某 个 Pod， 一 般 用 


AES (Job) : 确保 给 定数 目的 Pod 正 常 退 出 《完成 了 任务 ) 
.入 口 资 源 〈Ingress Resource) : 用 来 提供 七 层 代理 服务 ; 


资源 限额 (Resource Quotas) : 用 来 限制 某 个 命名 空间 下 对 资源 的 
使 用 ， 开 始 逐 渐 提 供 多 租户 支持 ; 


安全 上 和 下文 (Security Context) : 应 用 到 容器 上 的 系统 安全 配置 ， 
包括 uid、gid、capabilities、SELinux 角 色 等 ; 








:服务 账号 (Service Accounts) : 操作 资源 的 用 户 账号 。 
下 面 分 别 解释 这 些 核心 概念 的 含义 和 用 法 。 


27.2.1 集群 组 件 

集群 由 使 用 Kubernetes 组 件 管理 的 一 组 节点 组 成 ， 这 些 节 点 提供 了 
容器 资源 池 供 用 户 使 用 。 主 要 包括 管理 (Master) 组 件 和 节点 (Node) 
组 件 。 

1.Master 组 件 


顾名思义 ，Master 组 件 提供 所 有 与 管理 相关 的 操作 ， 例 如 调度 、 监 
控 、 文 持 对 资源 的 操作 等 。 


Master 会 通过 Node ”Controller 来 定期 检查 所 管理 的 Node 资 源 的 健康 
状况 ， 完 成 Node 的 生命 周期 管理 。 

2.Node 组 件 

在 Kubernetes 中 ，Node 是 实际 工作 的 计算 实例 〈 在 1.1 之 前 版 本 中 名 
字 叫 做 Minion) 。 节 点 可 以 是 虚拟 机 或 者 物理 机 器 ， 在 创建 Kubernetes 
集群 过 程 中 ， 都 要 预 装 一 些 必 要 的 软件 来 啊 应 Master 的 管理 。 目 前 ， 
Node 的 配置 还 只 能 通过 人 工 手动 进行 ， 未 来 可 以 文 持 通过 Master 来 自动 
配置 。 


Node 节 点 有 几 个 重要 的 属性 : 地 址 信息 、 阶 段 状 态 、 资 源 容 量 、 节 
自 


avy I Po 


地 址 信息 包括 : 


i 主机 名 (HostName) : 市 点 所 在 系统 的 主机 别名 ， 基 本 不 会 用 
到 ; 


外 部 地 址 《ExternalIP) : 集群 外 部 客户 站 可 以 通过 该 地 址 访问 到 
AAs 


内 部 地 址 《InternalIP) : 集群 内 可 访问 的 地 址 ， 外 部 往往 无 法 通 
过 该 地 址 访问 节点 。 


阶段 状态 包括 : 
-待定 (Pending〉: 新 创建 节点 ， 还 未 就 绪 状 态 ， 需 要 进一步 的 配 

















H; 


运行 中 CRunning) : 正常 运行 中 的 节点 ， 可 被 分 配 Pod， 会 定期 
汇报 运行 状态 消 轧 ; 


-ZE (Terminated) : 节点 已 经 停止 ， 处 于 不 可 用 状态 ， 判 断 条 件 
为 5 分 钟 内 未 收 到 i 运行 状态 消息 a 


资源 容量 包括 常见 操作 系统 资源 ， 如 CPU、 内 存 、 最 多 存放 的 Pod 
个 数 等 。 


T ka: WOMI RA AAE Kubernetes 版 本 信息 、Docker 引 
擎 版 本 信息 等 ， 会 由 kubelet 定 期 汇报 。 


27.2.2 ”资源 抽象 


Kubernetes 对 集群 中 的 资源 进行 了 不 同 级 别 的 抽象 ， 每 个 资源 都 是 
一 个 REST 对 象 ， 通 过 API 进 行 操作 ， 通 过 JSON/YAML 格 式 的 模板 文件 
进行 定义 。 


在 使 用 Kubernetes 过 程 中 ， 要 注意 积累 这 些 模 板 文件 。 在 Kubernetes 
e 带 了 十 分 翔实 的 示例 模板 文件 ， 推 荐 读者 参 


1. 容 器 组 (Pod) 


在 Kubernetes 中 ， 并 不 直接 操作 容器 ， 最 小 的 管理 单位 是 容 右 组 
ae ey Gia e ia Kubernetes 围 绕 容 右 组 进行 创 


同一 个 容器 组 中 ， 各 个 容器 共享 命名 空间 (包括 网 络 、IPC、 文 件 
系统 等 容器 支持 的 全 8 名 空间 ) 、cgroups 限 制 和 存储 卷 。 这 意味 着 同一 容 
器 组 中 ， 各 个 应 用 可 以 很 方便 相互 进行 访问 ， 比 如 通过 localhost 地 址 进 
行 网 络 访问 ， 通 过 信号 量 和 共享 内 存 进 行进 程 间 通 信 等 ， 类 似 于 经 典 场 
景 中 运行 在 间 一 个 操作 系统 中 的 一 组 进程 。 可 以 简单 将 一 个 Pod 当 作 是 
AMARNE”, FIST ATA REE CBE ERE SE by Et 
是 一 个 容器 ) 。 


























实现 上 ， 是 先 创建 一 个 gcr.io/google_containers/pause 容 器 ， 创 建 相 
关 命 名 空间 ， 然 后 创建 Pod 中 的 其 他 容器 ， 共 享 pause 容 器 的 命名 空间 。 


容器 组 内 的 肝 干 容器 往往 是 存在 共同 的 应 用 目的 ， 彼 此 关联 十 分 紧 
密 ， 例 如 一 个 Web 应 用 和 对 应 的 日 志和 采 集 应 用 或 状态 监控 应 用 。 如 果 单 
ee 会 造成 过 度 耘 合 ， 管 理 升 级 都 
\ 方 便 。 


容 右 组 的 经 典 应 用 场景 包括 : 

:内容 管理 ， 文 件 和 数据 加 载 ， 绥 存 管 理 等 ; 
日 志 处 理 ， 状 态 快照 等 ; 

:监控 代理 ， 消 息 发 布 等 ; 

代理 机 制 ， 网 桥 、 网 卡 等 ; 

-控制 荆 ， 管 理 器 ， 配 置 以 及 更 新 等 。 


跟 其 他 资源 类 似 ， seg h 用 户 可 以 通过 YAML 
或 者 JSON 模 板 来 定义 一 个 容器 组 资源 ， 例 如 : 




















可 以 说 ， 容 右 组 既 保 持 了 容 占 轻 量 解 看 的 特性 ， 又 提供 了 调度 操作 
的 便利 性 ， 在 实践 中 提供 了 比 单个 容器 更 为 灵活 和 更 有 意义 的 抽象 。 


容器 组 生命 周期 包括 五 种 状态 值 : 待定 (Pending) 、 运 行 
(Running) ~ Y] (Succeeded) 、 失 败 (Failed) 、 未 知 
(Unknown) : 

待定 (Pending〉: 已 经 被 系统 接受 ， 但 容器 镜像 还 未 就 绪 ; 


.运行 (Running) : 分 配 到 节点 ， 所 有 容器 都 被 创建 ， 至 少 一 个 容 











器 在 运行 中 ; 
MI (Succeeded) : 所 有 容器 都 正常 退出 ， 不 需要 重启 ， 任 务 完 





:失败 (Failed) : 所 有 容器 都 退出 ， 人 至 少 一 个 容器 是 非 正常 退出 ; 
:未知 (Unknown) : 未 知 状态 ， 例 如 所 在 节点 无 法 汇报 状态 。 
2. 复 制 控 制 器 (Replication Controller) FS (Deployment) 


在 Kubernetes 看 来 ，Pod 资 源 是 可 以 随时 故障 的 ， 并 不 非 要 保证 Pod 
e 0 Kubernetes 通 过 复制 控制 器 来 实 
现 这 一 功能 。 


用 户 申请 容器 组 后 ， 复 制 控制 器 将 负责 调度 容器 组 到 东 个 节点 上 ， 
并 保证 它 的 给 定 份 数 replica) 正 毅 运行 。 当 实际 运行 Pod 份 数 超过 数 
目 ， 则 终止 茶 些 Pod;， 当 不 足 ， 则 创建 新 的 Pod。 一 般 建议 ， 即 使 Pod 份 
数 是 1， 也 要 使 用 复制 控制 器 来 创建 ， 而 不 是 直接 创建 Pod。 


可 以 将 复制 控制 器 类 比 为 进程 的 监管 者 (supervisor) 的 角色 ， 只 不 
过 它 不 光 能 保持 Pod 的 持续 运行 ， 还 能 保持 集群 中 给 定 类 型 Pod 同 时 运行 
的 个 数 为 指定 值 。 

Pod 是 临时 性 的 ， 可 以 随时 被 复制 控制 器 创建 或 者 销毁 ， 这 意味 着 
要 通过 Pod 上 自身 的 地 址 访问 应 用 是 不 能 保证 一 致 性 的 。Kubernetes 通 过 服 
务 的 概念 来 解决 这 个 问题 。 


从 1.2.0 版 本 开始 ，Kubernetes 将 正式 引入 部 团 (Deployment)〉 机制 
来 支持 更 灵活 的 Pod 管 理 ， 从 而 用 户 无 需 直 接 跟 复 制 控制 器 打交道 了 。 
3. 横 向 Pod 扩 展 器 (Horizontal Pod Autoscaler) 


横 回 扩展 器 CHPA) 在 复制 控制 占 和 部 和 著 的 基础 上 增加 了 自动 反馈 
ri ELE HA Pod FY RRA H KREPo H, WATRARA EY AT 
用 性 。 




















典型 的 一 个 场景 是 ， 定 期 (由 --horizontal-pod-autoscaler-sync-period 
参数 指定 ) 通 过 Heapster 组 件 来 检查 目标 部 车 内 Pod 的 平均 CPU 使 用 情 


况 ， 当 CPU 使 用 率 高 出 目标 值 ， 上 自动 增加 Pod 数 ;反之 降低 。 内 部 机 制 
是 通过 scale 接 口 来 操作 资源 。 








提示 


Heapster 是 一 套 监控 工具 ， 文 持 对 从 kubelet 中 采集 的 系统 数据 进行 
整合 处 理 和 展示 ， 可 参考 https://github.conykubernetes/heapster。 


用 户 可 以 显 式 定义 一 个 横 回 扩展 吉 资 源 ， 绑 定 到 部 普 对 象 上 ， 也 可 
以 通过 autoscale 命 令 来 自动 创建 ， 例 如 : 








$ kubectl autoscale rc test_rc --min=2 --max=5 --cpu-percent=80 


会 目 动 创建 一 个 复制 控制 器 ， 复 制 个 数 范 围 为 2~"5，CPU 利 用 率 的 
目标 值 为 80%。 


注意 ， 当 使 用 复制 控制 希 进 行 滚动 升级 时 ， 横 加 扩展 喜 并 不 会 目 动 
绑 定 到 新 创建 的 复制 控制 器 上 。 


4. 服 务 (Service ) 


Kubernetes 主 要 面 癌 的 对 象 是 持续 运行 ， 并 且 无 状态 (stateless) 。 
服务 的 提出 主要 是 要 解决 Pod 地 址 可 变 的 问题 。 由 于 Pod 随 时 可 能 故障 ， 
并 可 能 在 其 他 节点 上 被 重启 起 来 ， 它 的 地 址 是 不 能 保持 固定 的 。 因 此 ， 
用 一 个 服务 来 代表 提供 某 一 类 功能 〈 可 以 通过 标签 来 筑 选 ) 的 一 些 
Pod， 并 分 配 不 随 Pod 位 置 变 化 而 改变 的 虚拟 访问 地 址 (Cluster IP) 。 这 
也 符合 微服 务 的 理念 。 


比如 网 站 的 后 端 服 务 可 能 有 多 个 Pod 都 运行 了 后 端 处 理 程序 ， 它 们 
可 以 组 成 一 个 服务 。 前 端 只 需要 通过 服务 的 唯一 虚拟 地 址 来 访问 即 可 ， 
而 无 需 关 心 具 体 是 访问 到 了 哪个 Pod。 可 见 ， 服 务 跟 负 载 均 衡器 实现 的 
功能 很 相似 。 


组 成 一 个 服务 的 Pod 可 能 属于 不 同 复制 控制 器 ， 但 服务 目 身 是 不 知 

















道 复制 控制 器 的 存在 的 。 


同样 ， 服 务 也 是 一 个 REST 对 象 ， 用 户 可 以 通过 模板 来 定义 一 个 服 











这 个 模板 会 科 选 所 有 带 有 标签 app: webApp 的 Pod， 作 为 web- 
service， 对 外 呈现 的 访问 端口 为 80， 了 映射 到 Pod 的 80 端 口上 。 


服务 在 创建 后 ， 会 被 自动 分 配 一 个 集群 地 址 (Cluster IP) ， 这 个 地 
址 并 不 绑 定 到 任何 接口 ， 将 作为 访问 服务 的 抽象 地 址 。 访 问 该 地 址 会 被 
映射 到 Pod 的 实际 地 址 。 实 现 上 是 通过 kube-proxy 进 程 。 每 个 节点 上 都 会 
运行 一 个 kube-proxy 进 程 ， 负 责 将 到 某 个 Service 的 访问 给 代理 或 者 均衡 
到 具体 的 Pod 上 去 。 同 时 ， 会 为 每 一 个 服务 都 创建 环境 变量 ， 指 向 集群 
地 址 ， 或 者 在 DNS 中 注册 该 服务 的 集群 地 址 。 


也 许 会 有 用 户 考 虑 使 用 DNS 方式 来 蔡 代 服务 的 集群 卫 机 制 ， 这 是 完 
全 可 以 的 ，Kubernetes 也 提供 了 基于 skydns 的 插件 支持 。 但 是 要 处 理 好 
DNS 碍 找 的 缓存 过 期 时 间 问 题 。 当 某 个 Pod 发 生变 化 时 ， 要 让 客户 端 本 
地 的 DNS 缓存 过 期 。 


男 外 ， 服 务 支持 进行 不 同类 型 的 健康 检查 (通过 容器 spec 中 的 
livenessProbe 或 ReadinessProbe 字 段 定 义 ) ， 目 前 包括 三 种 类 型 : 














.通过 HTTP 获 取 资 源 是 否 成 功 ; 
在 容器 中 执行 指定 命令 ， 返 回 值 是 否 为 0; 


.打开 给 定 socket 端 口 是 否 成 功 。 


探测 的 结果 可 能 为 成 功 、 失 败 或 未 知 。 其 中 LivenessProbe 反 映 的 是 
容器 目 身 状态 ， 如 果 配 置 了 重启 策略 ， 则 失败 状态 会 触发 自动 重启 ; 而 
ReadinessProbe 字 段 用 来 反映 容器 内 的 服务 是 否 可 用 。 


27.2.3 ”辅助 概念 
1. 标 签 (Label) 


标签 是 一 组 键 值 对 ， 用 来 标记 所 绑 定 对 象 〈( 典 型 的 就 是 Po0d〉 的 识 
别 属性 ， 进 而 可 以 分 类 。 比 如 name=apachelnginx、type=webldb、 
release=alphalbetalstable、tier=frontendlbackend 等 。 另 外 ，Label 键 文 持 通 
过 /来 添加 前 经 ， 可 以 用 来 标注 资源 的 组 织 名 称 等 。 一 般 前 级 不 能 超过 
253 个 字符 ， 键 名 不 能 超过 63 个 字符 。 


标签 所 定义 的 属性 是 不 唯一 的 ， 这 意味 着 不 同 资源 可 能 带 有 相同 的 
标签 键 值 对 。 这 些 属 性 可 以 将 业务 的 相关 信息 绑 定 到 对 象 上 ， 用 来 对 资 
源 对 象 进行 分 类 和 选择 过 滤 。 

2. 注 解 (Annotation) 


注解 跟 标 和 俭 很 相似 ， 也 是 一 组 键 值 对 。 不 同 的 是 ， 注 解 并 不 是 为 了 
分 类 资源 对 象 ， 而 是 为 了 给 对 象 增 加 更 丰富 的 描述 信息 。 这 些 信息 是 任 
意 的， 数据 量 可 以 很 大 ， 可 以 包括 各 种 结构 化 、 非 结构 化 的 数据 。 


常见 的 注解 包括 时 间 惟 、 发 行 信息 、 开 发 者 信息 等 。 

3. 选 择 器 (Selector) 

基于 资源 对 象 上 绑 定 的 标签 信息 ， 选 择 器 可 以 通过 指定 标签 键 值 对 
来 过 滤 出 一 组 特定 的 资源 对 象 。 选 择 器 文 持 的 语法 包括 : 基于 等 式 
(Equality-based) 的 和 基于 集合 (Set-based) 的 。 

基于 等 式 的 选择 ， 即 通过 指定 某 个 标签 是 否 等 于 某 个 值 ， 例 如 
env=production 或 者 tier! =frontend 等 。 多 个 等 式 可 以 通过 AND 逻 辑 组 合 
在 一 起 。 


基于 集合 的 选择 ， 即 通过 指定 茶 个 标签 的 值 是 售 在 某 个 集合 内 ， 例 


如 env in(staging, production). 

















4. 持 久 卷 (PersistentVolume ) 


PersistentVolume 即 容器 挂 载 的 数据 卷 ， 有 跟 Pod 一 至 的 生命 周期 ， 
n CEHE) 中 ， 数 据 卷 跟着 存在 ，Pod 退 出 ， 则 数据 卷 跟 
退出 。 


几 个 比较 常见 的 数据 卷 类 型 包括 : emptyDir、hostPath、 


gcePersistentDisk. awsElasticBlockStore. nfs, gitRepo. secret. 


‘emptyDir: 当 Pod 创 建 的 时 候 ， 在 节点 上 创建 一 个 空 的 挂 载 目 录 ， 
挂 载 到 容器 内 。 当 Pod 从 节点 离开 (例如 删除 挥 〉 的 时 候 ， 挂 载 目录 内 
数据 被 自动 删除 挥 。 节 点 上 的 挂 载 位 置 可 以 为 物理 人 硬盘 或 内 存 。 这 一 类 
的 挂 载 适 用 于 非 持久 化 的 存储 ， 例 如 跟 Pod 任 务 相 关 的 临时 数据 等 。 除 
此 之 外 ， 其 他 存储 格式 大 都 是 持久 化 的 ; 


:hostPath: 将 节点 上 某 已 经 存在 的 目录 挂 载 到 Pod 中 ，Pod 退 出 后 ， 
节点 上 的 数据 将 保留 ; 


.gcePersistentDisk: 使 用 GCE 的 Persistent Disk 服 务 ，Pod 退 出 后 ， 数 
据 会 被 保留 ; 

-awsElasticBlockStore: 使 用 AWS 的 EBS Volume 服 务 ， 数 据 也 会 被 
持久 化 保留 ; 

‘nfs: 使 用 nfs 协 议 的 网 络 存储 ， 也 是 持久 化 数据 存储 ; 


‘gitRepo: 挂 载 一 个 空 目录 到 Pod， 然 后 clone 指 定 的 git 仓 库 代 码 到 
里 面 ， 适 用 于 直接 从 仓库 中 给 定 版 本 的 代码 来 部 署 应 用 ; 


‘secret: 用 来 传递 敏感 信息 〈 如 密码 等 ) ， 基 于 内 存 的 tmpfs， 挂 载 
临时 秘密 文件 ; 


其 他 类 型 还 包括 iscsi、flocker、glusterfs、rbd、downwardAPI、 


FlexVolume、AzureFileVolume 等 。 


持久 化 的 存储 以 插件 的 形式 提供 为 PersistentVolume 资 源 ， 用 户 通 过 
请 求 某 个 类 型 的 PersistentVolumeClaim 资 源 ， 来 从 匹配 的 持久 化 存储 卷 
上 获取 绑 定 的 存储 。 














资源 定义 仍然 通过 yml 或 json 格 式 的 模板 文件 ， 例 如 定义 一 个 持久 
化 存储 卷 : 





apiVersion: vi 
kind: PersistentVolume 
metadata: 
name: pv01 
spec: 
capacity: 
storage: 100Gi 
accessModes: 
- ReadwriteOnce 
persistentVolumeReclaimPolicy: Recycle 
nfs: 


path: /tmp 
server: 192.168.0.2 





5. 秘 密 数 据 (Secret) 


秘密 数据 资源 用 来 保存 一 些 敏 感 的 数据 ， 这 些 数据 (例如 密码 ) 往 
往 不 希望 别 的 用 户 看 到 ， 但 是 在 局 动 茶 个 资源 《例如 Pod) 的 时 候 需 要 
sa o JERE BUR BH AI Secret EM, H R iin 2 be ttSecret HA 4 Bl 
可 使 用 。 


例如 ， 我 们 希望 通过 环境 变量 传递 用 户 名 和 密码 信息 到 一 个 Pod 





首先 ， 将 用 户 名 和 密码 使 用 base64 进 行 编码 : 





$ echo "admin" | base64 
YWwRtaw4K 

$ echo "admin_pass" | base64 
YWRtaw5fcGFzcwo= 








编写 一 个 Secret 的 对 象 模板 ， 添 加 前 面 的 base64 编 码 数 据 : 





apiVersion: v1 

kind: Secret 

metadata: 
name: test_secret 

type: Opaque 

data: 
password: YWRtaW5fcGFzcwo= 
username: YWRtaW4k 





通过 kubectl 创 建 秘密 数据 对 象 test_secret: 





$ kubectl create -f ./secret.yaml 
secret "test_secret" created 








USername 


t cret 


restartPolicy: Never 





在 对 应 容器 (secret-test-pod.test-container) 内 ， 通 过 环境 变量 
$SECRET _ USERNAME 和 $SECRET _ PASSWORD 即 可 获取 到 原始 的 用 
户 名 和 密码 信息 。 


此 外 ， 还 可 以 采用 数据 卷 的 方式 把 秘密 数据 的 值 以 文件 形式 放 到 容 
名 内 。 通 第 ， 秘 密 数 据 不 要 超过 1MB。 


在 整个 过 程 中 ， 只 有 秘密 数据 的 所 有 人 和 最 终 运行 的 容器 〈 准 确 的 
说 ， 需 要 是 同一 个 服务 账号 下 面 的 ) 能 获取 原始 敏感 数据 ， 只 接触 到 
Pod 定 义 模 板 的 人 是 无 法 获取 到 的 。 

6.UID 和 名 字 (Name) 

Kubernetes 用 UID 和 名 字 来 标识 对 象 。 其 中 ，UID 是 全 局 唯一 的 ， 并 
且 不 能 复 用 ; 而 名 字 则 仅仅 要 求 对 某 种 类 型 的 资源 〈 在 同一 个 命名 空间 
内 ) 内 是 唯一 的 ， 并 且 当 某 个 资源 移 除 后 ， 其 名 字 可 以 被 新 的 资源 复 
用 。 


这 意味 着 ， 可 以 创建 一 个 Pod 对 象 ， 命 名 为 test， 同 样 可 以 创建 一 个 











复制 控制 器 ， 命 名 也 为 test。 一 般 名 字 字 符 串 的 长 度 不 要 超过 253 个 字 
FF o 


7. 命 名 空间 (Namespace ) 





用 户 在 创建 资源 的 时 候 可 以 通过 --namespace=<some_namespace> 来 
指定 所 属 的 命名 空间 。 


Kubernetes 集 群 启动 后 ， 会 保留 两 个 特殊 的 命名 空间 : 
‘default: 资源 未 指定 命名 空间 情况 下 ， 默 认 属于 该 空间 ; 
.kube-system: 由 Kubernetes 系 统 自身 创建 的 资源 。 


另外 ， 大 部 分 资源 都 属于 茶 个 命名 空间 ， 但 部 分 特殊 资源 ， 如 贡 
扩 、 持 久 存 储 等 不 属于 任何 命名 空间 。 











27.3 ”快速 体验 


目前 ，Kubenetes 文 持 在 多 种 环境 下 的 安装 ， 包 括 本 地 主机 
(Fedora) 、 云 服务 (Google GAE、AWS 等 ) ， 但 最 快速 体验 
Kubernetes 的 方式 显然 是 在 本 地 通过 Docker 容 器 的 方式 来 快速 启动 相关 


进程 。 


图 27-2 来 自 Kubernetes 官 方 ， 展 示 了 在 单 节 点 上 使 用 Docker 快 速 部 
署 一 套 Kubernetes 的 拓扑 。 














Master/Worker Node 


>| ted service proxy 


kubernetes master kubelet 


user pod | “+ | user-pod-n 人 





图 27-2 ”在 Docker 中 局 动 Kubernetes 
1. 依 赖 镜像 
Kubernetes 通 过 Docker 容 器 方式 部 噜 依赖 的 镜像 包括 : 


-gcr.io/google_containers/hyperkube: 提供 所 有 的 Kubernetes 组 件 支 
持 ; 


.gcr.io/google_containers/etcd: 提供 Etcd 数 据 库存 储 ; 


-gcr.io/google_containers/pause: 一 个 轻 量 级 的 基础 设施 容器 (不 到 
1MB) ， 用 于 为 每 个 pod 提 前 创建 命名 空间 ， 其 他 什么 也 不 做 。 


2. 局 动 服务 
首先 ， 查 看 目前 gcr.io/google_containers/hyperkube 可 选 版 本 信息 : 





$ curl -k -s -X GET https://gcr.io/v2/google_containers/hyperkube-amd64/tags/ 
Fa, -r '.tags[]' 
vi. 
vi. = S 
v1.2.0-alpha.6 
v1.2.0-alpha.7 
v1.2.0-alpha.8 
v1.2.0-beta.0 
v1.2.0-beta.1 
v1.2.1-beta.0 
v1.3.0-alpha.0 





这 里 选用 较 新 的 稳定 版 本 v1.2.0。 


本 地 启动 etcd 服 务 ， 监 听 到 默认 的 4001 端 口 。 读 者 可 自行 查阅 前 面 
的 第 22 章 。 也 可 以 使 用 容器 方式 快速 启动 etcd 服 务 : 

















$ docker run -d -p 4001:4001 gcr.io/google_containers/etcd 





Pea 可 以 通过 如 下 命令 来 一 次 性 部 署 并 启动 Kubernete 需 要 的 所 有 
服务 : 





$ docker run \ 
volume=/:/rootfs:ro \ 
--volume=/sys:/sys:ro \ 
--volume=/var/lib/docker/:/var/lib/docker:rw \ 
--volume=/var/lib/kubelet/:/var/lib/kubelet:rw \ 
--volume=/var/run:/var/run:rw \ 
--net=host \ 
--pid=host \ 
--privileged=true \ 
-d \ 


gcr.io/google_containers/hyperkube-amd64:v1.2.0 \ 
/hyperkube kubelet \ 
--containerized \ 
--hostname- ee "127.0.0.1" \ 
--address="0.0.0. x 
--api-servers= Reen: //localhost:8080 \ 
--config=/etc/kubernetes/manifests \ 
--cluster-dns=10.0.0.10 \ 
--cluster-domain=cluster.local \ 
--allow-privileged=true --v=2 








执行 后 查看 本 地 实际 启动 容器 ， 包 括 5 个 容器 : 1 个 kubelet 容 器 和 1 
个 主 服 务 Pod (包括 apiserver、scheduler、controller-manager 和 pause): 





$ docker ps 
CONTAINER ID IMAGE 


COMMAND CREATED STATUS PORTS 


NAMES 
7960d23a6020 gcr.io/google_containers/hyperkube:v1.2.0 
"/hyperkube scheduler" 2 minutes ago Up 2 minutes 


k8s_scheduler.eafafaf4_k8s-master-127.0.0.1_default_ba6eae9669ef0a03a0aa48 
b2f9df36a2_0c4d9e51 
5d59975ec667 gcr.io/google_containers/hyperkube:v1.2.0 
"/hyperkube apiserver" 2 minutes ago Up 2 minutes 
k8s_apiserver.ffcilaf8_k8s-master-127.0.0.1_default_ba6eae9669ef0a03a0aa48 
b2f9df36a2_8087ddee 
95644df5cc66 gcr.io/google_containers/hyperkube:v1.2.0 
"/hyperkube controlle" 2 minutes ago Up 2 minutes 
k8s_controller-manager .672e021d_k8s-master-127.0.0.1_default_ba6eae9669efO 
aQ3a0aa48b2f9df36a2_b767d196 
ce8ac7c6f23a gcr.io/google_containers/pause:0.8.0 
"/pause" 2 minutes ago Up 2 minutes 
k8s_POD.6d00e006_k8s-master-127.0.0.1_default_ba6eae9669efOa03a0aa4sb2fodFf 
36a2_affafO5b 
a063f246cd42 gcr.io/google_containers/hyperkube-amd64:v1.2.0 
"/hyperkube kubelet -" 2 minutes ago Up 2 minutes 
gigantic_kalam 








实际 上 ，Pod 中 的 各 个 容器 是 在 hyperkube-amd64: v1.2.0 镜 像 中 
的 /etc/kubernetes/manifests/master 文 件 指定 的 ， 内 容 如 下 。 注 意 不 同 版 本 
镜像 的 文件 内 容 可 能 略 有 不 同 : 





{ 
"apiversion": "vi", 
"kind": "Pod", 
"metadata": {"name":"k8s-master"}, 
"spec": { 
"hostNetwork": true, 
"containers": [ 
{ 
"name": "controller-manager", 
"image": "gcr.io/google_containers/hyperkube:v1.2.0" 
"command": [ 
"/hyperkube", 
"controller-manager", 
"--master=127.0.0.1:8080", 
"v=2" 


"name": "apiserver", 
"image": "gcr.io/google_containers/hyperkube:v1.2.0" 
"command": [ 
"/hyperkube", 
"apiserver", 
".-service-cluster-ip-range=10.0.0.1/24", 
"--address=127.0.0.1", 
"--etcd-servers=http://127.0.0.1:4001" 
"--cluster-name=kubernetes", 
"v=2" 


"name": "scheduler", 
"image": "gcr.io/google_containers/hyperkube:v1.2.0" 
"command": [ 

"/hyperkube", 

"scheduler", 

"--master=127.0.0.1:8080", 

"v=2" 





3. 测 试 状态 


此 时 ， 在 主机 访问 本 地 访问 8080 端 口 ， 将 获取 到 支持 的 部 分 API 列 




















$ curl localhost:8080 


"paths": [ 
"/api", 
"/api/v1", 
"/apis", 


"/apis/extensions", 


"/apis/extensions/vibetai", 


"/healthz", 
"/healthz/ping", 
"/logs/", 
"/metrics", 
"/resetMetrics", 
"/swagger-ui/", 
"/swaggerapi/", 
"/ui/", 
"/version" 


例如 ， 可 以 查看 版 本 信息 : 


$ curl localhost:8080/version 


"major": "a" 
"minor": PEN 


r 
"gitVersion": "v1.2.0", 


"gitCommit": "5cb86ee022267586db386f62781338b0483733b3", 


"gitTreeState": "clean" 


通过 /api/v1 可 以 获取 支持 的 API 资 


$ curl localhost :8080/api/v1 


"kind": "APIResourceList", 


"groupVersion": "v1", 
"resources": [ 





"name": "bindings", 
"namespaced": true 

}, 

{ 

"name": "componentstatuses", 
"namespaced": true 

}, 

{ 
"name": "endpoints", 
"namespaced": true 

}, 

{ 

"name": "secrets", 
"namespaced": true 

}, 

{ ! 
"name": "serviceaccounts", 
"namespaced": true 

}, 

{ i 
"name": "services", 
"namespaced": true 

} 


用 户 还 可 以 进 一 


当然 ， 除 了 API 方 式 之 外 ，Kubermnetes 也 提供 了 现成 的 客户 端 操作 命 


通过 这 些 API 对 相关 党 


kubectl， 将 在 后 面 27.6 节 进行 介绍 。 


资源 列表 ， 例 如 : 


资源 进行 CRUD 操 作 。 


274 Behe 


Kubernetes 安 装 包括 两 种 模式 ， 一 种 是 使 用 自 带 的 脚本 ， 男 一 种 是 
手动 进行 配置 。 


用 Kubernetes 本 地 手动 部 草 多 节点 情况 相对 复杂 ， 需 要 提前 理解 其 
基本 原理 和 各 个 组 件 。 


1. 使 用 脚本 安装 


Kubernetes 提 供 了 自 带 的 本 地 部 普 脚 本 (支持 Ubuntu 14.04 LTS 系 
统 ) ， 其 中 包括 三 个 节点 : 一 个 Master+Node， 两 个 Node。 通 过 Flannel 
方案 作为 后 端 网 络 实现 。 
(1) 预 配 置 
所 有 节点 上 需要 安装 Docker 和 bridge-utils， 并 且 Master 节 点 需要 能 
访问 到 外 网 下 载 必要 的 软件 包 ，Node 节 点 需要 有 启动 Pod 所 需要 的 
Docker 镜 像 。 


下 载 kubernetes 代 码 包 ， 并 切换 到 稳定 版 本 ， 如 release-1.2: 








it clone https://github.com/kubernetes/kubernetes.git --depth=1 
it checkout release-1.2 
d kubernetes/cluster/ubuntu/ 





配置 信息 在 config-default.sh 文 件 中 。 
修改 下 面 一 行为 你 的 本 地 节点 的 实际 用 户 名 和 地 址 : 





export nodes=${nodes: -"vcap@10.10.103.250 vcap@10.10.103.162 vcap@10.10.103.223"} 





这 里 分 别 更 新 为 本 地 实际 市 点 地 址 : 





export nodes=${nodes: -"ubuntu@192.168.122.22 ubuntu@192.168.122.177 ubuntu@192. 
168.122.8"} 





修改 下 面 一 行为 你 需要 的 配置 角色 ，a 代 表 Master，i 代 表 Node， 会 


对 应 到 上 面 指定 的 服务 器 列表 : 





role=${role:-"ai i i"} 





用 户 可 以 目 行 配置 服务 使 用 的 集群 地 址 范围 ， 默 认为 
192.168.3.0/24: 





export SERVICE_CLUSTER_IP_RANGE=192.168.3.0/24 





另外 ， 还 有 flannel 的 数据 网 地 址 范围 ， 默 认为 172.16.0.0/16: 





export FLANNEL_NET=172.16.0.0/16 





(2) 开始 安装 


配置 完成 后 进入 上 层 的 kubernetes/cluster/ 目 录 ， 执 行 安装 脚本 kube- 
up.sh。 


该 脚本 会 自动 下 载 flannel、etcd、kubernetes 等 的 压缩 包 ( 下 载 过 程 
可 能 比较 慢 ， 推 荐 提前 下 载 好 ， 有 具体 参考 ubuntu/download-release.Sh 脚 
ee 点 进行 配置 ， 最 后 对 启动 后 的 集群 进行 校 验 ， 确 保 
Ee 功 : 











$ KUBERNETES_PROVIDER=ubuntu ./kube-up.sh 
a ee) cluster using provider: ubuntu 
calling verify-prereqs 
Identity added: /home/ubuntu/.ssh/id_rsa (/home/ubuntu/.ssh/id_rsa) 
.. Calling kube-u 
~/kubernetes/cluster/ubuntu ~/kubernetes/cluster 
Prepare flannel 0.5.5 release ... 
Prepare etcd 2.2.1 release .. 
Prepare kubernetes 1.2.0 release ESS 


wrote config for ubuntu to /home/ubuntu/.kube/config 
. calling validate-cluster 

Found 3 node(s). 
E LABELS STATUS AGE 


192.168.122.177 kubernetes.io/hostname=192.168.122.177 Ready <invalid> 
192.168.122.22 kubernetes.io/hostname=192.168.122.22 Ready <invalid> 
192.168.122.8 kubernetes.io/hostname=192.168.122.8 Ready <invalid> 
Validate output: 

NAME STATUS MESSAGE ERROR 

controller -manager Healthy ok nil 

scheduler Healthy ok nil 


etcd-0 Healthy {"health": "true"} nil 
Cluster validation succeeded 

Done, listing cluster services 

Kubernetes master is running at E hetpi //192.168.122.22:8080 





由 于 我 们 指定 了 KUBERNETES PROVIDER=ubuntu， 该 脚本 实际 


上 调用 的 是 ubuntu 目录 下 的 脚本 。 


部 署 成 功 后 ，kubeconfig 文 件 在 用 户 目录 下 的 .kube/config 中 ， 记 录 
了 集群 的 访问 信息 和 认证 信息 ， 例 如 : 





apiVersion: v1 
clusters: 
- cluster: 
insecure-skip-tls-verify: true 
server: http://192.168.122.22:8080 
name: ubuntu 
contexts: 
- context: 
cluster: ubuntu 
user: ubuntu 
name: ubuntu 
current-context: ubuntu 
kind: Config 
preferences: {} 
users: 
- name: ubuntu 
user: 
password: EFMXyR1UurQuL4TB 
username: admin 





此 时 ， 可 以 通过 kubernetes/cluster/ubuntu/binaries 目 录 下 的 kubectl 窜 
户 端 跟 集群 进行 交互 ， 例 如 : 





$ cd ubuntu/binaries 

$ ./kubectl version 

Client Version: version.Info{Major:"1", Minor:"2", GitVersion:"v1.2.0", GitCommit: 
"5cbh86ee022267586db386f62781338b0483733b3", GitTreeState:"clean"} 

Server Version: version.Info{Major:"1", Minor:"2", GitVersion:"v1.2.0", GitCommit: 
"5cbh86ee022267586db386f62781338b0483733b3", GitTreeState:"clean"} 

$ ./kubectl get nodes 


NAME STATUS AGE 

192.168.122.177 Ready 26m 

192.168.122.22 Ready 1h 

192.168.122.8 Ready 25m 

$ ./kubectl get services 

NAME CLUSTER_IP EXTERNAL_IP PORT(S) SELECTOR AGE 
kubernetes 192.168.3.1 <none> 443/TCP <none> 1h 





该 目录 下 还 包括 集群 各 个 节点 上 使 用 的 二 进 制服 务 文 件 : 





$ tree . 
.| 一 kubectl}+— master | 上 一 etcd| | 一 etcdctl| | 一 flanneld| | 一 kube-apiserver | | 一 kube-controller- 
manager | [一 kube-scheduler — minion 
flanneld 
kubelet 


kube-proxy 





(3) Master 节 点 服务 


Master 节 点 《同时 也 是 Node 节 点 ) 上 服务 包括 kube-apiserver、kube- 
scheduler、kube-controller-manager、kubelet 和 kube-proxy: 





$ $ ps aux|grep kube 
root 29960 0.6 3.5 88080 72356 ? Ssl 14:56 0:13 
/opt/bin/kube-apiserver --insecure-bind-address=0.0.0.0 --insecure-port=8080 


--etcd-servers=http://127.0.0.1:4001 --logtostderr=true --service-cluster-ip- 
range=192.168.3.0/24 --admission-control=NamespaceLifecycle, LimitRanger 
ServiceAccount, ResourceQuota, SecurityContextDeny --service-node-port-range= 
30000-32767 --advertise-address=192.168.122.22 --client-ca-file=/srv/ 
kubernetes/ca.crt --tls-cert-file=/srv/kubernetes/server.cert --tls- 
private-key-file=/srv/kubernetes/server.key 

root 29961 0.3 1.7 49276 34508 ? Ssl 14:56 0:07 
/opt/bin/kube-controller-manager --master=127.0.0.1:8080 --root-ca-file= 
/srv/kubernetes/ca.crt --service-account -private-key-file=/srv/kubernetes 
/server.key --logtostderr=true 


root 29962 0.0 1.1 34796 23484 ? Ssl 14:56 0:00 
/opt/bin/kube-scheduler --logtostderr=true --master=127.0.0.1:8080 
root 29978 0.4 2.0 459496 41172 ? Ssl 14:56 0:10 


/opt/bin/kubelet --hostname-override=192.168.122.22 --api-servers= 
http://192.168.122.22:8080 --logtostderr=true --cluster-dns=192.168.3.10 
--cluster-domain=cluster.local --config= 

root 29981 0.0 0.9 29232 19428 ? Ssl 14:56 0:00 
/opt/bin/kube-proxy --hostname-override=192.168.122.22 --master= 
http://192.168.122.22:8080 --logtostderr=true 





(4) Node 节 点 服务 


Node 节 点 上 服务 则 简单 的 多 ， 包 括 kubelet 和 kube-proxy: 





$ ps aux|grep kube 

root 11347 0.5 2.1 418548 43352 ? Ssl 14:57 0:11 
/opt/bin/kubelet --hostname-override=192.168.122.177 --api-servers= 
http://192.168.122.22:8080 --logtostderr=true --cluster-dns=192.168.3.10 
--cluster-domain=cluster.local --config= 

root 11348 0.0 0.9 29232 19644 ? Ssl 14:57 0:00 
/opt/bin/kube-proxy --hostname-override=192.168.122.177 --master= 
http://192.168.122.22:8080 --logtostderr=true 





(5) 管理 脚本 


kubernetes/cluster 也 提供 了 其 他 方面 用 户 进行 操作 的 管理 脚本 ， 主 
要 包括 : 


kube-up.sh 部 罩 一 个 kubernetes 集 群 ; 
kube-down.sh 停 止 一 个 kubernetes 集 群 ; 

kubectl.sh 通 过 kubectl 命 令 来 对 集群 发 出 指令 ; 
:kube-push.sh 升 级 一 个 已 有 的 集群 到 指定 版 本 ; 
validate-cluster.sh 执 行 一 些 校 验 操作 ， 确 保 集群 启动 成 功 ; 
“get-kube-local.sh 快 速 部 蜀 一 个 单 节点 的 本 地 集群 。 

(6) 配置 DNS 

DNS 服务 在 Kubernetes 中 以 addon 形 式 存在 ， 可 以 在 集群 启动 后 选择 





添加 ， 以 Pod 形 式 运行 在 集群 中 。Kubernetes 代 码 包 中 目 带 了 知 干 
addon， We 包括 了 DNS、dashboard、 人 负载 均 
衡 、 监 控 


配置 选项 仍然 在 kubernetes/clusterubuntu/config-default.sh 文 件 中 ， 
相关 配置 包括 : 





# Optional: Install cluster DNS. 
ENABLE_CLUSTER_DNS="${KUBE_ENABLE_CLUSTER_DNS: -true}" 

# DNS_SERVER_IP must be a IP in SERVICE_CLUSTER_IP_RANGE 
DNS_SERVER_IP=${DNS_SERVER_IP: -"192.168.3.10"} 
DNS_DOMAIN=${DNS_DOMAIN: "cluster . local"} 
DNS_REPLICAS=${DNS_| REPLICAS: -1} 





更 新 配置 后 ， 执 行 如 下 命令 ， 会 自动 创建 默认 的 kube-system 命 名 空 
间 ， 并 启动 一 个 skydns 的 Pod: 





$ cd cluster/ubuntu 

$ KUBERNETES_PROVIDER=ubuntu ./deployAddons.sh 
Creating kube-system namespace... 

namespace "kube-system" created 

The namespace 'kube-system' is successfully created. 
Deploying DNS on Kubernetes 

replicationcontroller "kube-dns-vii" created 

service "kube-dns" created 

Kube-dns rc and service is successfully deployed. 
Creating Kubernetes Dashboard replicationController 
replicationcontroller "kubernetes-dashboard-v1.0.0" created 
Creating Kubernetes Dashboard service 

service "kubernetes-dashboard" created 





Node 上 实际 需要 依赖 的 Docker 镜 像 包 括 
gcr.io/google_containers/exechealthz: 1.0、 
gcr.io/google_containers/kube2sky: 1.14、gcr.io/google_containers/etcd- 
amd64: 2.2.1、 gcr.io/google_containers/pause: 2.0. 
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一 次 创建 Pod 的 时 候 ， 如 条 本 地 没有 
gcr.io/google_containers/pause: 2.0 镜 像 ， 会 自动 下 载 。 如 果 出 现下 载 超 
时 问题， 可 以 自行 搜索 镜像 tar 包 ， 通 过 docker 。” load 命令 来 添加 到 各 个 
Node 节 点 上 。 建 议 本 地 提前 准备 好 gcr.io 相 关 的 镜像 。 


(7) 配置 Web UI 


修改 配置 文件 kubernetes/cluster/ubuntu/config-default.sh， 相 关 配 置 
包括 : 





ENABLE_CLUSTER_UI="${KUBE_ENABLE_CLUSTER_UI:-true}" 





同样 ， 更 新 配置 后 ， 执 行 如 下 命令 ， 会 自动 创建 默认 的 kube-system 
命名 空间 ， 并 启动 一 个 kubernetes-dashboard 的 Pod: 





$ cd cluster/ubuntu 
$ KUBERNETES_PROVIDER=ubuntu ./deployAddons.sh 





实际 上 是 调用 如 下 命令 来 启动 服务 : 





$ kubectl create -f cluster/addons/dashboard/dashboard-controller.yaml --namespace= 
kube-system 

$ kubectl create -f cluster/addons/dashboard/dashboard-service.yaml --namespace= 
kube-system 





Node 上 依赖 的 Docker 镜 像 包括 gcr.io/google_containers/kubernetes- 
dashboard-amd64: v1.0.0. gcr.io/google_containers/pause: 2.0. 


dashboard 服 务 提供 了 一 个 简单 的 web 管理 界面 ， 如 图 27-3 所 示 。 


kubernetes 


kube-dns-v11 View details Jashboard-v1.0.0 


kBs-app: kube-dns  kubernetes,lo/cluster-service; true bs-dashboard 
version: v11 Edit pod count rsenioe tue 
1 pod running Logs Logs v 


Image Age Delete Age 
gerio/google_cont.../eted-amd64:2.2.1 48 minutes dard-amd64:v1,0.0 48 minutes 


gerio/google.cont, .ers/kube2sky.1.14 一 External endpoint 


gcrio/google_con...015-10-13-8072"8c 


gcriogoogle cont. rslexechealthz:1.0 kubernetes-dashb. .be-system:80 TCP none 


Internal endpoint External endpoint 
kube-dns.kube-system:53 UDP none 
kube-dns.kube-system:53 TCP 





图 27-3 ”Kubernetes 的 Web 管 理 界面 
(8) 查看 相关 信息 
首先 ， 查 看 集群 的 信息 ， 显 示 API 服 务 地 址 和 启动 服务 的 地 址 : 





$ ./kubectl cluster-info 

Kubernetes master is running at http://192.168.122.22:8080 

KubeDNS is running at http://192.168.122.22:8080/api/v1/proxy/namespaces/kube- 
system/services/kube-dns 

kubernetes-dashboard is running at http://192.168.122.22:8080/api/v1/proxy 
/namespaces/kube-system/services/kubernetes-dashboard 





查看 启动 的 服务 列表 ， 可 见 dns 和 dashboard 服 务 分 别 被 分 配 了 一 个 
虚拟 的 ClusterIP: 192.168.3.10 和 192.168.3.231: 





$ ./kubectl get services --namespace=kube-system 


NAME CLUSTER-IP EXTERNAL - IP PORT(S) AGE 
kube-dns 192.168.3.10 <none> 53/UDP,53/TCP 3m 
kubernetes-dashboard 192.168.3.231 <none> 80/TCP 3m 





可 以 进一步 用 如 下 命令 获取 各 个 Pod 的 详细 信息 : 





$ ./kubectl get pods --namespace=kube-system -0 json 





在 Pod 所 在 的 Node 节 点 上 ， 可 以 查看 iptables 规 则 ， 查 看 访问 对 应 服 
务 的 流量 被 映射 到 相应 端口 。 例 如 访问 dashboard 服 务 的 ClusterIP 
192.168.3.231:80， 最 终 被 映射 到 了 Pod 地 址 172.16.72.2:9090: 





$ sudo iptables -nvL -t nat 


Chain KUBE-SEP-2NKLTCPMR5LPTJA4 (1 references) 


pkts bytes target prot opt in out source destination 

0 © KUBE-MARK-MASQ all -- * x 172.168.75.2 0.0.0.0/0 /* kube-system/kube- 
dns:dns-tcp */ 

0 © DNAT tcp == * i 0.0.0.0/0 0.0.0.0/0 /* kube-system/kube- 


dns:dns-tcp */ tcp to:172.16.75.2:53 
Chain KUBE-SEP-5TZPVMQGISGQSOMF (1 references) 


pkts bytes target prot opt in out source destination 
0 0 KUBE-MARK-MASQ all - 
- * + 192.168.122.22 0.0.0.0/0 /* default/kubernetes:https */ 

9 9 DNAT tcp - 
=e $ 0.0.0.0/0 0.0.0.0/0 /* default/kubernetes:https */ tcp to:192.168.122.22:6443 
Chain KUBE-SEP-OR5WFLXGZDSJPSIA (1 references) 

pkts bytes target prot opt in out source destination 

0 © KUBE-MARK-MASQ all -- * x 172.16.72.2 0.0.0.0/0 /* kube-system/kubernetes- 
dashboard: */ 

9 9 DNAT tcp -- * Y 0.0.0.0/0 0.0.0.0/0 /* kube-system/kubernetes- 


dashboard: */ tcp to:172.16.72.2:9090 
Chain KUBE-SEP-RZ30QFEV4V6Q3AN2 (1 references) 


pkts bytes target prot opt in out source destination 

0 © KUBE-MARK-MASQ all -- * 172.16.75.2 0.0.0.0/0 /* kube-system/kube- 
dns:dns */ 

9 9 DNAT udp -- * + 0.0.0.0/0 0.0.0.0/0 /* kube-system/kube- 


dns:dns */ udp to:172.16.75.2:53 
Chain KUBE-SERVICES (2 references) 


pkts bytes target prot opt in out source destination 
9 9 KUBE-SVC-NPX46M4PTMTKRN6Y tcp - 
- * » 0.0.0.0/0 192.168.3.1 /* default/kubernetes:https cluster IP */ tcp dpt:443 
0 © KUBE-SVC-TCOU7JCQXEZGVUNU udp -- * * 0.0.0.0/0 192.168.3.10 /* kube- 
system/kube-dns:dns cluster IP */ udp dpt:53 
0 9 KUBE-SVC-ERIFXISQEP7F70F4 tcp -- * * 0.0.0.0/0 192.168.3.10 /* kube- 
system/kube-dns:dns-tcp cluster IP */ tcp dpt:53 
0 © KUBE-SVC-XGLOHA7QRQ3V22RZ tcp -- * * 0.0.0.0/0 192.168.3.231 /* kube- 
system/kubernetes-dashboard: cluster IP */ tcp dpt:80 
0 9 KUBE-NODEPORTS all - 
a! 8 过 0.0.0.0/0 0.0.0.0/0 /* kubernetes service nodeports; NOTE: this must be the last r 


DRTYPE match dst-type LOCAL 
Chain KUBE-SVC-ERIFXISQEP7F70F4 (1 references) 
pkts bytes target prot opt in out source destination 
9 © KUBE-SEP-2NKLTCPMR5LPTJA4 all -- * by 0.0.0.0/0 0.0.0.0/0 /* kube- 
system/kube-dns:dns-tcp */ 
Chain KUBE-SVC-NPX46M4PTMTKRN6Y (1 references) 


pkts bytes target prot opt in out source destination 
9 9 KUBE-SEP-5TZPVMQGISGQSOMF all - 
- * * 0.0.0.0/0 0.0.0.0/0 /* default/kubernetes:https */ 
Chain KUBE-SVC-TCOU7JCQXEZGVUNU (1 references) 
pkts bytes target prot opt in out source destination 
0 © KUBE-SEP-RZ30QFEV4V6Q3AN2 all -- * * 0.0.0.0/0 0.0.0.0/0 /* kube- 


system/kube-dns:dns */ 
Chain KUBE-SVC-XGLOHA7QRQ3V22RZ (1 references) 
pkts bytes target prot opt in out source destination 
0 © KUBE-SEP-ORSWFLXGZDSJPSIA all -- * x 0.0.0.0/0 0.0.0.0/0 /* kube- 
system/kubernetes-dashboard: */ 











2. 手 动 本 地 配置 

如 果 要 在 本 地 手动 安装 ， 需 要 对 环境 进行 一 系列 目 定 义 的 配置 。 实 
践 中 不 推荐 大 家 目 定 安 疾 ， 但 通过 了 解 这 个 过 程 可 以 加 深 对 Kubernetes 
各 个 组 件 功能 的 理解 。 


(1) Node 节 点 配置 


首先 ， 要 取消 Docker-Engine 对 本 地 的 网 络 接管 ， 删 除 默 认 的 
docker0 网 桥 : 





$ sudo iptables -t nat -F 
$ ifconfig dockerg down 
$ brctl delbr dockerg 





另外 ， 在 Docker 服 务 中 修改 默认 的 网 桥 人 信息， 如果 使 用 VXLAN 这 
样 的 overlay 方 案 ， 还 需要 修改 MTU: 





DOCKER_OPTS=" -H tcp://127.0.0.1:4243 -H unix:///var/run/docker.sock --bip= 
172.16.21.1/24 --mtu=1450" 





(2) 下 载 组 件 文 件 


Kubernetes 也 提供 了 Linux 平 台 上 预 编译 好 的 各 个 组 件 文件 ， 方 便 搭 
建 本 地 集群 。 


从 github.com/kubernetes/kubernetes/releases/latest 下 载 编译 好 的 二 进 
制 执行 包 kubernetes.tar.gz， 并 解压 。 这 里 以 1.2.0 版 本 为 例 ， 其 他 版 本 需 
要 蔡 换 地 址 中 版 本 号 为 对 应 版 本 号 。 


对 应 操作 如 下 : 











$ curl -L https://github.com/kubernetes/kubernetes/releases/download/v1.2.0/ 
kubernetes.tar.gz > kubernetes.tar.gz 
$ tar xzvf kubernetes.tar.gz 





解压 后 ， 进 入 kubernetes/server/ 子 目录 下 ， 并 解压 kubernetes-server- 
linux-amd64.tar.gz 文 件 ， 查 看 其 子 目 录 kubernetes/server/bin 下 的 文件 : 





$ cd kubernetes/server/ && tar xzvf kubernetes-server-linux-amd64.tar.gz 

$ ls kubernetes/server/bin 

hyperkube kube-apiserver.tar 

kube-controller-manager.tar kube-proxy kube-scheduler.tar 
kube-apiserver kube-controller -manager 

kubectl kube-scheduler linkcheck 
kube-apiserver.docker_tag kube-controller-manager.docker_tag 

kubelet kube-scheduler .docker_tag 





可 以 看 到 ， 核 心 组 件 的 执行 文件 都 在 这 里 了 。 其 中 ，hyperkube 将 
可 以 通过 子 命令 来 指定 作为 某 个 组 件 运行 。 
列 如 





$ hyperkube kubelet ... 








等 价 于 直接 运行 了 kubelet 组 件 。 
(3) Master 节 点 


首先 来 配置 Master 节 点 ， 主 要 包括 etcd、kube-apiserver、kube- 
scheduler、kube-controller-manager 等 。 用 户 也 可 以 启动 其 他 组 件 。 


1) 本 地 启动 etcd 服 务 ， 监 听 到 默认 的 4001 端 口 。 读 者 可 自行 查阅 前 
面 的 第 22 章 。 














$ etcd 





2) kube-apiserver 配 置 ， 通 过 下 而 命令 启动 一 个 kube-apiserver， 监 
听 在 本 地 的 非 安 全 端口 10.0.100.88: 8080。 该 命令 没有 启用 安全 端口 ， 
所 以 可 能 会 有 警告 信息 ， 这 里 暂时 忽略 : 








$ kube-apiserver --service-cluster-ip-range=10.0.0.1/24 --etcd-servers= 
http://127.0.0.1:4001 --insecure-bind-address=10.0.100.88 





此 时 ， 从 其 他 节点 应 该 可 以 通过 http://10.0.100.88:8080 地 址 访问 到 
API 列 表 信 息 。 


3) kube-scheduler 配 置 ， 只 需要 指定 Master 的 API 监 听 地 址 : 





$ kube-scheduler --master=10.0.100.88:8080 --address=10.0.100.88 





4) kube-controller-manager 配 置 ， 只 需要 指定 Master 的 API 监 听 地 
址 : 





$ kube-controller-manager --master=10.0.100.88:8080 --address=10.0.100.88 





(4) Node 节 点 


Node 节 点 要 简单 得 多 ， 主 要 包括 kubelet 和 kube-proxy 两 个 组 件 。 





用 下 面 命令 可 以 启动 kubelet: 





$ sudo kubelet --address="0.0.0.0" --api-servers=http://10.0.100.88:8080 -- 
configure-cbro=true 





此 时 ， 可 以 通过 API 查 看 到 注册 上 来 的 Node 市 点 了 : 








$ kubectl -s 10.0.100.88:8080 get nodes 
NAME LABELS STATUS 
host-99 kubernetes.io/hostname=host -99 Ready 








用 下 面 命 令 可 以 启动 kube-proxy: 





$ sudo kube-proxy --master=10.0.100.88:8080 





27.5 重要 组 件 


如 果 现 在 从 头 设计 一 套 容 需 集 群 管理 平台 ， 可 能 不 同人 最 终 设 计 出 
来 的 方案 是 不 相同 的 ， 但 相信 大 部 分 都 能 想到 如 下 几 个 方面 的 需求 : 


要 采用 分 布 式 架构 ， 保 证 良好 的 可 扩展 性 ; 
控制 平面 要 实现 逻辑 上 的 集中 ， 数 据 平 面 要 实现 物理 上 的 分 布 ; 


:得 有 一 套 资源 调度 系统 ， 负 责 所 有 的 资源 调度 工作 ， 要 容易 插 


.对 资源 对 象 要 进行 抽象 ， 所 有 资源 要 能 实现 高 可 用 性 。 


Kubernetes 中 的 节点 包括 两 种 类 型 . Master 节 点 负责 控制 ，Node 节 
点 负责 干 活 ， 各 上 自 又 通过 知 干 组 件 组 合 来 实现 。 








Master 节 点 上 组 件 主 要 有 Etcd、apiserver、scheduler、controller- 
manager， 以 及 ui、DNS 等 可 选 插件 : 


Etcd: 作为 数据 库 ， 存 放 所 有 集群 相关 的 数据 ; 


-kube-apiserver: Kubernetes 系 统 的 对 外 接口 ， 提 供 RESTful API 供 
客户 端 和 其 他 组 件 调 用 ， 文 持 水 平 扩 展 。 


.kube-scheduler: 负责 对 资源 进行 调度 ， 有 具体 负责 分 配 某 个 请 求 的 
Pod 到 某 个 节点 上 ; 


:kube-controller-manager: 对 不 同 资 源 的 管理 器 ， 包 括 节点 管理 
器 、 复 制 管理 器 、 服 务 管 理 右 、 权 限 管 理 堪 等 


kube-ui: 目 带 的 一 套用 来 查看 集群 状态 的 Web 界 面 ; 
‘DNS: 记录 启动 的 容器 组 和 服务 地 址 ; 
其 他 组 件 : 包括 容 吉 资源 使 用 监控 、 日 志 记 录 、setup 脚 本 等 。 这 些 


组 件 可 以 任意 部 署 在 相同 或 者 不 同 机 峰 上 ， 只 要 可 以 通过 标准 的 HTTP 
接口 相互 访问 到 即 可 ， 这 意味 着 对 Kubernetes 的 管理 组 件 进 行 扩 展 将 变 














得 十 分 简单 


Node 节 点 上 主要 包括 kubelet、kube-proxy、 容 器 引 敬 和 一 些 辅助 组 
fF: 





:kubelet: 节点 上 最 主要 的 工作 代理 ， 汇 报 节点 状态 并 实现 容器 组 
的 生命 周期 管理 ; 


:kube-proxy: 代理 对 抽象 的 应 用 地 址 的 访问 ， 负 责 配 置 正确 的 转发 
规则 


:容器 引擎 : 本 地 的 容器 依赖 ， 目 前 文 持 Docker 和 rkt; 

-辅助 组 件 : supervisord 用 来 保持 kubelet 和 docker 进 程 运行 ，fluentd 
用 来 转发 日 志 等 。 

下 面 分 别 介绍 这 些 组 件 的 作用 和 基本 用 法 。 
27.0.1 ted 


Kubernetes 依 赖 Etcd 数 据 库 服 务 来 记录 所 有 节点 和 资源 的 状态 。 可 
以 说 ，Etcd 是 Kubernetes 集 群 中 最 重要 的 组 件 。apiserver 的 大 量 功 能 都 是 
通过 跟 Etcd 进 行 交 互 来 实现 。 关 于 Etcd 数 据 库 的 详细 信息 ， 请 参考 之 前 
的 第 22 章 。 














27.5.2 kube-apiserver 





作为 REST API 服 务 端 ，kube-apiserver 接 收 来 自 客户 端 和 其 他 组 件 
的 请 求 ， 更 新 Etcd 中 的 数据 ， 是 响应 对 API 资 源 操作 的 最 前 端 组 件 。 一 
般 推 荐 部 署 多 个 kube-apiserver 来 提高 可 用 性 。 


可 以 通过 kube-apiserver-h 命 令 查 看 服务 端 文 持 的 参数 选项 ， 其 中 比 
较 重 要 的 配置 选项 参见 表 27-1。 


表 27-1 kube-apiserver 配 置 选项 





t 项 说 g 

其 他 成 员 可 以 访问 apiserver 的 地 址 ， 默 认 跟 --bind-address 相同 
是 否 允 许 容 需 获取 特权 权限 

提供 服务 的 端口 ， 包 括 ~-tead-only-port 和 --secure-port ports, 


--advertise-address= 


--allow-privileged{=false] 


--bind-address=0.0.0.0 


aie 0.0.00 
--cert-dir="/var/run/kubernetes" | 启用 了 TLS 情 况 下 ,证 书目 录 路 从 
--cluster-name="kubernetes" 集群 别名 


--etcd-config="" 
--etcd-prefix="/registry" 
--etcd-servers=| | 
--insecure-bind-address=127,.0.0,1 
--insecure-port=8080 
--kubelet-port=10250 
--master-service-namespace= "default" 
--max-connection-bytes-per-sec=0 
--max-requests-inflight=400 
--profiling[=true] 
--secure-port=6443 
--service-cluster-ip-range= 
--tls-cert-file="" 


--tls-private-key-file="" 


27.5.3. kube-scheduler 


eted 客户 端 配置 文件 ， 跟 -eted-servers 只 能 同时 使 用 一 个 
eted 中 在 依次 源 信息 的 路 径 前 级 

eted 服务 地 址 ， 跟 ~cted-config 只 能 同时 使 用 一 个 

非 安 全 的 绑 定 地 址 

ERANKO, -Mi kE A 

kubelet fll 

master 服务 处 理 Pod 的 默认 命名 空间 

AE Ba RR 

最 大 正在 处 理 的 请 求 数 ， 超 过 则 对 新 到 请 求 拒绝 

是 否 局 用 profiling 功能 ， 在 hostportldebugjpprof 显示 调试 信息 
安全 端 虽 ， 忆 用 了 TLS 认 证 ; 
服务 虚 地 址 (Cluster IP) 的 网 
x509 证 书 文件 

K509 私 铀 文件 ,需要 跟 -tseertfile PU 


不 要 地 和 理由 


kube-scheduler 负 贡 有 具体 的 资源 调度 工作 ， 对 节点 进行 般 选 和 过 滤 。 
当 收 到 资源 请 求 后 ， 负 责 按照 调度 策略 选择 最 合适 的 节点 运行 Pod。 


kube-scheduler 是 以 插件 形式 存在 的 ， 文 持 各 种 复杂 的 调度 策略 ， 确 
保 Kubernetes 集 群 服务 的 性 能 和 高 可 用 性 。kube-scheduler 在 调度 上 考虑 
服务 质量 、 软 硬件 限制 、《〈 抗 ) 杀 和 性 (Caffinity) 、locality、 工 作 负 载 





交互 等 多 个 方面 。 


可 以 通过 kube-scheduler-h 命 令 查 看 文 持 的 参数 选项 ， 其 中 比较 重要 


的 配置 选项 参见 表 27-2。 


表 27-2 ”kube-scheduler 配 置 选 项 


选 项 
--address=127,0,0,1 
--algorithm-provider="DefaultProvider" 
--alsologtostderr[=false] 


--bind-pods-burst=100 





--bind-pods-qps=50 


--kubeconfig="" 


--mMaster= 


--policy-config-file="" 


--port=10251 


--profiling[=true] 


说 明 
服务 监听 地 址 
测度 算法 ， 目 前 支持 DefaultProvider 
志 打 印 到 文件 的 同时 ， 打 印 到 标准 错 演 栓 出 
每 种 钟 最 多 帘 发 处 理 的 绑 定 操作 
每 种 促 最 多 持续 处 理 的 纳 定 操作 
kubeconfig 文件 路 径 ， 包 括 Master 位 置 和 认证 信息 


Master 的 AP[ 地 址 ， 会 覆盖 kubeconfig 文件 中 
可 能 的 指定 


测度 策略 (policy) 配置 文件 
服务 监听 端口 


是 否 启 用 profiling， 监 听 在 host;port/ 
debug/pprof/ 


27.5.4 kube-controller-manager 


提供 控制 器 服务 ， 监 视 集 群 的 状态 ， 一 旦 不 满足 状态 则 采取 操作 ， 
让 状态 恢复 正常 ， 币 见 的 控制 喜 包 括 : 


:复制 Creplication) 控制 器 : 确保 指定 Pod 同 时 存在 指定 数目 的 实 
例 ; 





.端点 〈endpoint) 控制 器 : 负责 Endpoints 对 象 的 创建 ， 更 新 ; 
-节点 (Node) 控制 器 : 负责 节点 的 发 现 ， 管 理 和 监控 ; 


:命名 空间 (namespace) 控制 器 : 啊 应 对 命名 空间 的 操作 ， 如 创 
建 、 删 除 等 ; 


.服务 账户 〈ServiceAccounts) 控制 器 : 管理 命名 空间 中 的 
ServiceAccount， 确 保 默 认 账 户 存 在 于 每 个 正常 的 命名 空间 中 。 


可 以 通过 kube-controller-manager-h 命 令 查 看 支持 的 参数 选项 ， 其 中 
比较 重要 的 配置 选项 见 表 27-3。 


表 27-3 ”kube-controller-manager 配 置 选项 











选 项 
--address=127,0.0.1 
--allocate-node-cidrs [=false] 
--cluster-cidr= 
--cluster-name="kubernetes" 


--concurrent-endpoint-syncs=5 





--concurrent-namespace-syncs=2 
~-concurrent-resource-quota- 
syncs=5 

--concurrent-rc-syncs=5 
--deleting-pods-burst=10 
--deleting-pods-qps=0.1 
--deployment-controller-sync- 
period=30s 

--kubeconfig="" 

--master="" 
--node-monitor-period=5s 
--port=10252 


--resource-quota-sync-period=10s 


27.5.5 kubelet 


kubelet 是 Node 节 点 上 最 重要 的 工作 程序 ， 它 是 负责 具 
的 节点 上 。 





给 定 的 Pod 运 行 在 自己 负责 


说 明 
服务 监听 地 址 
分 配 绑 定 到 各 个 节点 上 的 他 地 址 范围 
Pod IP JUL) CIDR 范围 
RREZ 
端 品 同 步 的 并 行 操作 数目 ， 越 多 性 能 越 好 ， 也 越 占 CPU 
命名 空间 同步 的 并 行 操作 数目 ， 越 多 性 能 起 好， 也 越 占 CPU 


资源 配 额 同步 的 并 行 操作 数目 ， 越 多 性 能 越 好 ， 也 越 占 CPU 


复制 控制 吉 同 步 的 并 行 操作 数目 ， 越 多 性 能 越 好 ， 也 越 占 CPU 
PAREMA, FERMER Pod 的 节点 
DAEMEN, BORNE Pod 的 节点 数 


同步 部 过 的 时 间 间 了 


kubeconfig 文件 路 从 

Kubernete API 服务 地 址 ， 如 果 kubeconfi HAE, WEN 
NodeController 同步 节 所 状态 的 时 间 间隔 

Ra Ur 

WD A AP alf 


LEFI, oe 


如 果 kubelet 出 现 故 障 ， 则 Kubernetes 将 用 人 工 使 该 Node 变 得 不 可 
用 。 因 此 ， 在 生产 环节 中 推荐 对 kubelet 进 程 进行 监控 ， 并 通过 诸如 
supervisord 这 样 的 软件 来 及 时 重启 故障 的 进程 。 


另外 ， 一 般 要 通过 --system-reserved 和 --kube-reserved 参 数 为 系统 和 
Kubernetes 组 件 预 留 出 运行 资源 ， 避 免 耗 尽 后 让 节点 挂 擅 。 


可 以 通过 kubelet-h 命 令 查 看 支持 的 参数 选项 ， 其 中 比较 重要 的 配置 
选项 见 表 27-4。 


表 27-4 kubelet 配 置 选项 


选 项 说 朋 
--address=0.0.0.0 服务 监听 地 址 
--allow-privileged[=false] 是 否 多 许 容 咒 获 取 privileged 权限 
--api-servers=|] Kubernetes API 服务 的 监听 地 址 列表 
--boot-id-file="/proc/sys/kernel/random/ boot iati 


boot id" 


--cadvisor-port=4194 如 果 忆 用 了 cadvisor， 配 置 本 地 说 


S 


选 项 说 朋 
--cert-dir="/var/run/kubernetes" 访问 服务 端 时 的 TLS 证 书目 录 
--cluster-dns= 集群 使 用 的 DNS 服务 器 ， 配 置 后 会 添加 到 容器 
--cluster-domain="" 搜索 域 ， 配 置 后 会 添加 到 容器 
--config="" 配置 文件 路 径 
--configure-cbr0[=false] 是 否 配 置 默认 的 cbr0 网 桥 
=--container-runtime="docker" 容器 引擎 ， 可 以 为 "docker'， 'rkt' 
--containerized[=false] 运行 kubelet 自身 在 一 个 容器 里 
--cpu-cfs-quota[=false] fe th ZTE E Ae CPU 的 CFS 配额 限制 
--docker="unix:///var/run/docker.sock" Docker 服务 访问 路 径 
--docker-root="/var/lib/docker" Docker 状态 根 目录 
--docker-run="/var/run/docker" Docker 运行 时 目录 
--healthz-bind-address=127,0.0.1 healthz 服务 监听 地 址 
--healthz-port=10248 healthz 服务 监听 端口 
~-image-gc~high-threshold=90 触发 对 镜像 进行 垃圾 回收 时 候 的 硬盘 使 用 率 
~-image-gc-low-threshold=80 低 于 该 值 ， 则 不 对 镜像 进行 垃圾 回收 
--kube-api-burst=10 调用 apiserver 的 峰值 上 限 
--kube-api-qps=5 调用 apiserver 的 平均 值 上 限 
--kubeconfig="/var/lib/kubelet/kubeconfig"| kubeconfig 配置 文件 路 徐 
--kube-reserved="" 系统 为 Kubernetes 组 件 的 运行 预 留 出 来 的 资源 
~-max-open-files=1000000 kubelet 进程 最 大 打开 的 文件 数 
--max-pods=40 最 多 运行 的 Pod 数目 
--maximum-dead-containers=100 保留 处 于 dead 状态 的 容器 全 局 上 限 
--network-plugin="" 网 络 插件 
— - in-dire"/usr/libexec 

seamen ja ee apart | 网 络 插件 搜索 路 径 
--node-ip="" 节点 IP 地址 ; 
--node-labels="" 给 节点 打上 标签 ; 
--node-status-update-frequency=10s Am Master 汇报 一 次 节点 状态 
--port=10250 服务 监听 端口 
--root-dir="/var/lib/kubelet" kubelet 管理 文件 日 录 


--system-reserved="" 为 系统 预 留 出 一 定 资源 ， 避 免 车 点 资源 耗 尽 


27.5.6 kube-proxy 


kube-proxy 2 会 监 监听 在 每 一 个 Node 节 点 上 ， 负 责 把 对 应 服务 端口 来 的 
通信 映射 给 后 端 对 应 的 Pod。 简 单 的 说 ， 它 既是 一 个 NAT (3¢#FTCPAI 
UDP) ， 同 时 也 有 负载 均衡 (目前 仅 灾 持 TCP) 的 功能 


例如 ， 服 务 test-service 定 义 服 务 端口 为 00， 实际 映射 到 大 量 Pod 的 
8080 端 口上 : 





"kind": "Service", 
“ani ion": "v1" 


"or rotocol” "TCP", 
n 


port 80, 
"tar rgetPor rt" 8080 





则 kube-proxy 会 目 动 配置 本 地 的 iptables rales 规 则 ， 一 旦 有 网 包 
Cclient) 想 访问 服务 的 80 问 口 ， 将 到 达 的 网 包 转 发 到 茶 个 绑 定 Pod 的 
8080 端 口 。 在 1.2.0 版 本 开始 ，kube-proxy 已 经 默认 完全 通过 iptables 来 配 
置 对 应 的 NAT 转 发 过 程 ， 自 里 不 再 参与 转发 过 程 ， 如 图 27-4 所 示 。 






















Backend Pod #2 
label: app=webapp 
port: 8080 


Backend Pod #3 
label: app=webapp 
port: 8080 


Backend Pod #1 
label: app=webapp 
port: 8080 


Kubernetes API Server 
Client 


Iptables rules 


kube-proxy Cluster IP 


Client 





图 27-4  kube-proxyiZ {7 Lil] 


kube-proxyShU RAH Fed HY He GE, JP ASCH SR APE. Piin 
如 果 配 置 service.spec.sessionAffinity 为 ClientIP， 则 同一 个 客户 端 发 过 来 
的 多 个 请 求 会 转发 给 同一 个 后 端的 Pod， 保 证 了 会 话 一 致 性 。 有 具体 实现 
上 ， 在 早期 版 本 中 采用 用 户 态 的 程序 来 转发 ， 现 在 已 经 逐渐 转换 到 基于 
Linux Iptables 的 更 高 效 转发 机 制 。 


可 以 通过 kube-proxy-h 命 令 查 看 支持 的 参数 选项 ， 其 中 比较 重要 的 
配置 选项 参见 表 27-5。 


表 27-5 ”kube-proxy 配 置 选项 


选 项 
--bind-address=0.0.0.0 
--cleanup-iptables [=false] 
--healthz-bind-address=127.0.0,1 
--healthz-port=10249 
--iptables-sync-period=30s 
--kubeconfig="" 
~-masquerade-all [=false] 


--master="" 
--proxy-mode="" 


~-proxy-port-range= 


--resource-container="/kube-proxy" 


--udp-timeout=250ms 


ih 朋 

服务 监听 地 址 

清除 所 有 的 iptables 规则 然后 退出 

健康 检查 服务 监听 地 址 

健康 检查 服务 监听 端口 

刷新 iptables 规则 的 时 间 

kubeconfig 文件 所 在 路 径 

如 果 用 纯 iptables MEA, MIANEM NAT 

Kubernetes API 服务 地 址 

代理 的 模式 ,包括 旧版 本 的 "userspace' 模式 或 较 新 
的 'iptables' 模式 (A 1.2.0 开始 默认 局 用 ) 

Node 节点 上 代理 服务 庄 口 的 范围 ， 默 认为 所 有 

资源 容器 名 

UDP 连接 认为 打开 的 超时 ， 仅 当 使 用 proxy-mode= 
userspace 时 生效 


27.6 ”使 用 kubectl 


kubectl 是 Kubernetes 目 带 的 客户 端 ， 封 装 了 对 Kubernetes API 的 i 调 
用 ， 可 以 用 它 HRR aAa 命令 今 跟 Kubernetes 集 群 进行 便捷 的 交互 。 掌 
握 了 ~ 命令 ， 就 掌握 了 对 Kubernetes 集 群 进 行使 用 和 管理 的 绝 大 部 
分 操 


27.6.1 获取 kubectl 

kubect 在 发 行 版 的 二 进 制 包 中 带 有 ， 位 于 
kubernetes/server/kubernetes/server/bin/ 目 录 下 。 用 户 也 可 以 自行 下 载 编 
译 好 的 文件 使 用 。 


例如 下 载 1.2.0 版 本 的 kubectl， 可 以 用 下 面 的 命令 。 其 他 版 本 注意 修 
改 URL 中 的 版 本 信息 : 





$ wget http: ogee gocgleapas .com/kubernetes-release/release/v1.2.0/bin/ 
linux/amd64/kubec 





27.6.2 命令 格式 
ean 过 kubectl help[subcommand] 命 令 查 看 命令 格式 和 文 持 的 子 命 


令 信息 


使 用 的 主要 格式 为 : 





kubectl [global-flags] [subcommand] [RESOURCE_TYPE] [NAME...] [subcommand-flags...] 





其 中 ，subcommand 为 要 执行 的 动作 ， 如 get、describe、create、 
delete 等 等 ， NAME 为 某 个 资源 类 型 下 面 的 奋 干 对 象 名 称 。 


RESOURCE_TYPE 为 要 操作 的 资源 的 类 型 ， 见 表 27-6。 


表 27-6 ”kubectl 命 令 资 源 类 型 说 明 


类 g 说 有 明 





componentstatuses |cs 组 件 状态 
daemon 集 ， 保 证 一 个 应 用 每 个 节点 上 运行 同样 的 Pod， 并 且 只 运 

daemonsets | ds a 

A 
deployments ie 
events| ev 事件 
endpoints|ep Ra tis 
horizontalpodautoscalers|hpa Pod HII Het 
ingresses| ing 7 层 服务 访问 入口 
jobs 任务 ， 确 保 成 功 完成 的 Pod ABR ME 
limitranges|limits Be tL 
nodes |no Node fis 
namespaces |ns MAZA 
pods | po Pod 资 源 
persistentvolumes |pv 持久 化 存储 卷 
persistentvolumeclaims | pvc 持久 化 存储 卷 声明 
replicationcontroller|rc 复制 控制 器 
resourcequotas |quota 次 源 的 配额 
secrets 秘密 数据 
serviceaccounts 服务 的 帐户 
Services|sve 服务 


通过 kubectl 可 以 对 这 些 资 源 进 行 生命 周期 管理 ， 包 括 创 建 、 删 除 、 
修改 、 碍 看 等 操作 。 


27.6.3 ”全 局 参数 


这 些 参数 主要 是 配置 命令 执行 的 环境 信息 ， 可 以 在 执行 具体 子 命令 
时 候 使 用 ， 参 见 表 27-7。 


表 27-7 kubectl 全 局 参数 


类 i "e 
A E RAR ADC 


每 输出 大 十 行 日 志 消息 就 打印 一 条 backtrace 信息 用 
--log-backtrace-at=:0 we 
来 追踪 调用 栈 


FLEE Le, 

HENS IA RA 
FST AR ANESRTEAN, AAR 
tid OR A 
Ma RSL 


( 4) 
ka 说 用 
-certificate-authority="" | CA 认证 的 cert XRB 
--client-certificate="" TLS AIEN Km SEA PiE BSC 
--client-key="" TLS 认证 时 候 需要 的 客户 端 秘 钥 文件 


--insecure-skip-tls-verify= 


认证 相关 不 检查 服务 剖 的 TLS 证 书信 息 


false 
--password="" AP[ 服 务 端 采用 基本 认证 时 的 密码 
--username=" AP[ 服 务 端 采用 基本 认证 时 的 用 户 名 
--token="" API ARS Hall token 认证 信息 
--api-version="" 指定 API 版 本 
--cluster="" 配置 的 集群 名 称 
--context="" 当前 操作 的 集 铬 名 称 
--kubeconfig="" kubecontig XER 
其 他 配置 | --match-server-version=false | 要 求 服务 端 版 本 跟 客 户 端 版 本 一 致 
--namespace="" 请 求 的 命名 空间 
S, --server="" Kubernetes API Akia h Hl Alsi 
--user="" kubeconfig user 使 用 的 用 户 名 
-Validate=false 发 送 请 求 前 是 否 先 在 客户 端 进行 校 验 


27.6.4” 子 命令 
子 命令 参见 表 27-8。 


表 27-8 ”kubect1l 子 命令 及 其 说 明 


get 显示 给 定 资源 的 信息 
describe 显示 给 定 资源 (组 ) 的 详细 信息 
create 创建 一 个 资源 
replacelupdate BER | 
patch 更 新 一 个 资源 的 域 信息 ， 即 给 资源 打 补丁 
delete 制 除 一 个 资源 
edit 调用 本 地 编辑 咒 ， 直 接 编辑 API 资源 ， 十 分 便利 的 功能 
应 用 配置 到 给 定 资源 资源 如 果 不 存在 会 自动 创建 。 可 以 用 来 修改 
sis WENER 
logs|log 打印 一 个 Pod HEMRA logs 信息 (docker Logs 价 今 输出 信息 ) 


对 某 个 复制 控制 名 进行 深 动 升级 ， 即 通过 每 次 仅 更 新 一 个 Pod 的 方 
式 来 平滑 的 过 滤 到 新 的 部 署 上 
scale 对 某 个 复制 控制 各 的 份 数 进行 调整 
标记 一 个 书页 为 不 可 调度 状态 。 当 节点 出 现 故障 时 候 ， 可 以 如 免 调 
度 资源 上 去 


rolling-update|rollingupdate 


cordon 


(4) 


M $ 说 朋 

pore RW ORM Wk LEB A (MRR Pod， 并 不 可 调度 资源 )。 可 
以 用 于 在 对 节点 进行 维护 前 让 工作 资源 从 节点 上 调度 出 去 

uncordon 恢复 节点 为 可 调度 状态 ， 可 以 分 配 工作 负载 过 来 了 
attach WEIER LE, ZM Docker attach 命令 
exec 在 给 定 Pod HAMA, RM Docker 的 exec 指令 
port-forward AAA] Pod 
proxy 本 地 创建 一 个 访问 Kubernetes API 服 务 的 代理 


运行 容器 (默认 在 后 台 )， 类 似 Docker ft} run -qd 指令 默认 会 上 
动 创建 一 个 部 署 或 者 任务 来 管理 创建 的 容器 
使 用 给 定 的 复制 控制 器 、Pod 或 者 服务 等 资源 的 选择 器， 发 布 为 新 


run|run-container 


aii: HL 

ere 日 动 根据 震 求 来 扩展 一 个 部 署 ( 或 复制 控制 器 中 的 Pod 数目 :类 
似 AWS 中 目 动 扩展 组 的 概念 

rollout 对 一 个 部 署 进行 操作 

label 更 新 一 个 次 源 的 标签 信息 

annotate 日 更 新 一 个 资源 的 注解 信息 

config 修改 kubeconfig 文件 

cluster-info 显示 一 个 集群 的 信息 。 包 括 AP 服务 端 地 址 ， 局 动 的 服务 全 

api-versions 显示 支持 的 API 版 本 信息 

Version 打印 客户 问 和 服务 端的 版 本 信息 

explain 显示 尼 浙 类 型 的 说 明文 档 。 可 以 快速 查看 某 个 资源 的 解释 


convert 转换 配置 文件 到 其 他 API 版 本 


示 给 定 资 源 的 信息 。 


命令 格式 为 kubectl get[(-o|--output=)json|yaml|template|widel...] 
(RESOURCE[NAME]|RESOURCE/NAME....)[flags]. 


支持 的 参数 主要 包括 : 

---all-namespaces=false: 是 否 列 出 所 有 的 命名 空间 中 的 资源 ; 
L, --label-columns=[]: 通过 标签 来 过 小 显示 的 资源 ; 

0, --output="": 输出 信息 的 格式 ， 包 括 


json|yaml|template|templatefile|wide; 
--l, --selector="": 通过 selector 来 过 滤 输 出 ; 
=t, --template="": 模板 字符 串 或 golang 模 板 文件 路 径 ; 
"W, --watch=false: 持续 监测 输出 对 象 的 变化 。 
例如 ， 获 取 集 群 中 节点 的 列表 : 





$ kubectl get nodes 








NAME LABELS STATUS 
127.0.0.1 kubernetes.io/hostname=127.0.0.1 Ready 
y 

x. 
获取 集群 中 Pod 的 列表 : 
$ kubectl get pods 
NAME READY STATUS RESTARTS AGE 
k8s-master-127.0.0.1 3/3 Running 9 2d 





2.describe 


显示 给 定 资源 《组 ) 的 详细 信息 。 


命令 格式 为 kubectl describe(RESOURCE 
NAME_PREFIXIRESOURCE/NAME)[flags]。 


支持 的 参数 主要 有 : -1，--selector=""， 通 过 selector 来 过 滤 输 出 。 例 
如 ， 仅 显示 带 有 name=myLabel 标 签 的 Pod: 





$ kubectl describe po -1 name=myLabel 





3.create 
创建 一 个 资源 。 
命令 格式 为 kubectl create-f FILENAME[flags]。 


文 持 的 参数 主要 有 -f，--filename=[]， 创 建 资源 的 模板 文件 所 在 的 路 
径 或 URL。 例 如 ， 创 建 一 个 test_pod.yml 文 件 ， 内 容 为 : 





apiVersion: v1 
kind: Pod 


- con tai nerPort: 80 





然后 执行 如 下 命令 创建 Pod 资 源 。 





$ ku eh create -f test_pod.yml 
pods/ngin 





提示 


这 里 直接 操作 Pod 仅 为 了 演示 命令 ， 一 般 情况 下 推荐 通过 复制 控制 
器 来 操作 Pod。 


查看 多 出 来 一 个 新 的 Pod: 





$ kubect1 get pods 


NAME 


k8s-master-127.0.0.1 


nginx 


READY 


3/3 
1/1 


STATUS 
Running 
Running 


RESTARTS AGE 
9 2d 
0 7s 











通过 describe 命 令 来 查看 具体 信息 ， 





检查 结果 跟 模 板 中 定义 一 致 ; 





$ kubectl describe po -1 name=nginx 


Name : 
Namespace 
Image(s): 
Node: 
Labels: 
Status: 
Reason: 
Message: 
IP: 


Replication Controllers: 


Container 
nginx 


S: 


Image: 
State: 
Started: 
Ready: 
Restart Count: 


Condition 
Type 
Ready 

Events: 


S: 


FirstSeen 


Mon, 
Mon, 
Mon, 
Mon, 
Mon, 
Mon, 
Mon, 


07 
07 
07 
07 
07 
07 
07 


Mar 
Mar 
Mar 
Mar 
Mar 
Mar 
Mar 


Status 
True 


2016 
2016 
2016 
2016 
2016 
2016 
2016 


11: 
11: 
11: 
11: 
11: 
11: 
11: 


04: 
04: 
04: 
04: 
04: 
04: 
04: 


Running 
172.17.0.1 
<none> 
nginx 
Running 
Mon, 07 Mar 2016 11:04:52 +0800 
True 
9 
LastSeen 
51 +0800 Mon, 07 Mar 2016 11: 
51 +0800 Mon, 07 Mar 2016 11: 
51 +0800 Mon, 07 Mar 2016 11: 
52 +0800 Mon, 07 Mar 2016 11: 
52 +0800 Mon, 07 Mar 2016 11: 
52 +0800 Mon, 07 Mar 2016 11: 
52 +0800 Mon, 07 Mar 2016 11: 


nginx 
default 
nginx 


127.0.0.1/127.0.0.1 


name=nginx 


04: 
04: 
04: 
04: 
04: 
04: 
04: 


51 
51 
51 
52 
52 
52 
52 


+0800 
+0800 
+0800 
+0800 
+0800 
+0800 
+0800 


Count 


FRR FRR RPR 


From 


{scheduler } 


{kubelet 
{kubelet 
{kubelet 
{kubelet 
{kubelet 
{kubelet 


127. 
127. 
127% 
127; 
127; 
127: 


O00000 


Ro 


SubobjectPath 


implicitly requi 
implicitly requi 
implicitly requi 
spec.containers{ 
spec.containers{ 
spec.containers{ 





4.replace|update 


蔡 代 /更 新 一 个 资源 。 
命令 格式 为 kubectl replace-f FILENAME[flags]。 
文 持 的 参数 主要 有 : 
--f, --filename=[]: 用 来 苦 代 资源 的 模板 文件 所 在 的 路 径 或 URL; 
---grace-period=-1: 资源 平 组 终止 的 等 待 时 间 ; 


---force=false: 删除 并 重建 指定 资源 。 
例如 ， 用 户 可 以 修改 test_pod.yml 中 容器 镜像 后 ， 用 新 的 Pod 蔡 代 原 


来 Pod: 





$ kubectl replace -f test_pod.yml 





5.patch 
更 新 一 个 资源 的 域 信 息 ， 即 给 资源 打 补 丁 。 
命令 格式 为 kubectl patch RESOURCE NAME-p PATCH[flags]。 


支持 的 参数 主要 有 -p，--patch=""， 补 丁 内 容 。 例 如 ， 用 户 可 以 修改 
一 个 节点 的 spec 值 : 





$ kubectl patch node k8s-node-1 -p '{"spec":{"unschedulable":true}}' 





6.delete 
删除 一 个 资源 。 


命令 格式 为 kubectl delete([-f FILENAME]I(RESOURCE[(NAME|-l 
label|--all) [flags]. 


文 持 的 参数 主要 有 : 

--all=false: 选取 所 有 指定 资源 ; 

--f, --filename=[]: 资源 模板 文件 所 在 的 路 径 或 URL:; 
---grace-period=-1: 资源 平 组 终止 的 等 竺 时 间 ; 
---ignore-not-found=false: 忽略 没 找到 资源 情况 下 的 报警 信息 ; 
=l, --selector="": 通过 selector 来 过 滤 资 源 ; 

--timeout=0: 等 竺 超时，0 表 示 从 删除 对 象 的 大 小 来 计算 超时 。 
例如 ， 删 除 刚 创建 的 Pod: 





$ kubectl delete -f test-pod.yml 





7.edit 


调用 本 地 编辑 器 ， 直 接 编辑 API 资 源 ， 十 分 便利 的 功能 。 

命令 格式 为 kubectl edit(RESOURCE/NAMEI-fFILENAME)[flags]。 
文 持 的 参数 主要 有 : 
-f，--filename=[]: 资源 模板 文件 所 在 路 径 、 目 录 或 者 URL; 
-0，--output="yaml": 输出 资源 格式 ， 包 括 yamlljson; 
---output-version="": 输出 指定 版 本 的 API 资 源 ; 

---record[=false]: 记录 kubectl 命 令 到 资源 的 注解 中 ; 
---save-config[=false]: 保存 配置 信息 到 资源 注解 中 ; 
---windows-line-endings[=false]: 使 用 Windows 格 式 的 换行 符 。 
8.apply 


应 用 配置 到 给 定 资源 ， 资 源 如 果 不 存在 会 自动 创建 。 可 以 用 来 修改 
资源 的 信息 。 


命令 格式 为 kubectl apply-f FILENAME[flags]。 

文 持 的 参数 主要 有 : 

-f, --filename=[]: 资源 模板 文件 所 在 路 径 、 目 录 或 者 URL; 
-0，--output="": 输出 模式 ， 用 来 过 滤 输 出 信息 等 ; 
---record[=false]: 记录 kubectl 命 令 到 资源 的 注解 中 ; 
---schema-cache-dir="~/.kube/schema": API 的 scheme 文 件 路 径 ; 
--Validate[=true]: 执行 命令 前 是 否 使 用 scheme 对 输入 进行 校 验 。 
9.logsllog 


打印 一 个 Pod 中 某 个 容器 的 logs 信 息 (docker logs 命 令 的 输出 信 


命令 格式 为 kubectl logs[-f][-p]POD[-c CONTAINER][flags]。 

支持 的 参数 主要 有 : 

--c, --container="": 容器 名 称 ， 如 果 Pod 中 仅 有 一 个 容器 则 可 以 久 

--f, --follow=false: 是 人 否 持续 跟踪 输出 信息 ， 类 似 tail 命 令 的 -{ 选 
项 ; 

---interactive=true: 是 否 支 持 交 互 ; 

-D，--previous=false: 输出 此 前 (已 停止 容器 实例 的 信息 。 


例如 ， 输 出 myPod 中 容器 test_container 的 logs 信 息 : 





$ kubectl logs myPod test_container 





10.rolling-update|rollingupdate 


对 东 个 复制 控制 器 进行 滚动 升级 ， 即 通过 每 次 仅 更 新 一 个 Pod 的 方 
式 来 平 请 的 过 渡 到 新 的 部 署 上 。 


命令 格式 为 kubectl rolling-update 
OLD_CONTROLLER_NAME([NEW_CONTROLLER_NAME]-- 
image=NEW_CONTAINER_IMAGE(|-f NEW_CONTROLLER_SPEC) 
[flags]. 


文 持 的 参数 主要 有 : 
---deployment-label-key="deployment": 默认 用 于 进行 区 分 的 标签 
---dry-run=false: 输出 模拟 执行 的 改动 ， 但 实际 上 不 执行 ; 


--f, --filename="": 创建 新 的 复制 控制 器 的 模板 文件 所 在 路 径 、 目 
录 或 URL; 





--image="": 升级 使 用 的 新 的 容器 镜像 ; 
-0，--output="": 输出 格式 ， 包 括 


json|yaml|template|templatefile|wide; 
---poll-interval="3s": 检查 更 新 状态 的 时 间 间 隔 ; 
---rollback=false: 回 深 上 上 次 版 本 ; 
`-t，--template="": golang 模 板 字 符 串 或 文件 路 径 ; 
---timeout="5m0s": 超时 时 间 ; 
---update-period="1m0s": 升级 多 个 Pod 的 时 间 间 隔 。 
例如 ， 更 新 rc-v1 复 制 控制 器 为 rc-v2.json 中 定义 内 容 : 





$ kubectl rolling-update rc-v1 -f rc-v2.json 





11.scale 
SED SZ abil He wl AS AY Ot BE 17 Vad 


命令 格式 为 kubectl scale[--resource-version=version|[--current- 
replicas=count]--replicas=COUNT(-f FILENAME|TYPE NAME)[flags]。 


文 持 的 参数 主要 有 : 
---current-replicas=-1: 对 当前 的 复制 份 数 进行 检查 ， 匹 配 则 执行 


scale 命 令 ; 


-f, --filename=[]: 复制 控制 器 的 模板 文件 所 在 路 径 、 目 录 或 
URL; 


"0, --output="": 输出 格式 ; 
---replicas=-1: 新 的 份 数 ， 必 备 项 ; 
---resource-version=""; 对 当前 的 资源 版 本 进行 检查 ， 匹 配 则 执行 


scale 命 令 ; 


---timeout=0: 命令 执行 超时 时 间 。 
12.cordon 


”标记 一 个 节 氮 为 不 可 调度 状态 。 当 节点 出 现 故障 时 候 ， 可 以 避免 调 
度 资 源 上 去 。 


命令 格式 为 kubectl cordon NODE[flags]。 


例如 让 市 点 n1 不 可 调度 资源 : 








$ kubectl cordon n1 





13.drain 


将 节点 资源 从 节点 上 迁移 出 去 (删除 掉 Pod， 并 不 可 调度 资源 ) 。 
可 以 用 于 在 对 市 点 进行 维护 前 让 工作 资源 从 市 点 上 调度 出 去 。 


命令 格式 为 kubectl drain NODE[flags]。 
支持 的 参数 主要 有 : 


---force[=false]: 删除 不 被 ReplicationController、Job 或 DaemonSet 管 
理 的 Pod; 


---grace-period=-1: 指定 允许 被 删除 Pod 平 组 退出 的 时 间 ; 
---ignore-daemonsets[=false]: 忽略 DaemonSet 所 管理 的 Pod。 
14.uncordon 

恢复 节点 为 可 调度 状态 ， 可 以 分 配 工作 负载 过 来 了 。 

命令 格式 为 kubectl uncordon NODE[flags]。 


例如 让 节点 nl 恢复 到 可 调度 状态 : 








$ kubectl uncordon n1 





15.attach 

贴 附 到 某 个 容器 上 ， 类 似 Docker 的 attach 命 令 。 

命令 格式 为 kubectl attach POD-c CONTAINER[flags]。 

文 持 的 参数 主要 有 : 
-CcC，--Container="": Pod 中 的 容器 名 ， 忽 略 则 默认 为 第 一 个 ; 
--i, --stdin[=false]: 挂 载 当前 的 标准 输入 到 容器 ; 


"t, --tty[=false]: 标准 输入 为 TTY 类 型 





16.exec 

在 给 定 Pod 中 执行 命令 ， 类 似 Docker 的 exec 指 令 。 

命令 格式 为 kubectl exec POD[-c CONTAINER]--COMMAND[args.…] 
[flags]. 

文 持 的 参数 主要 有 : 


.-C，--Container="": Pod 中 执行 命令 的 容器 名 称 ， 默 认 会 选取 第 


:-p，--pod="": Pod 名 称 ; 
-i，--stdin[=false]: 将 标准 输入 接 通 到 容器 ; 
"t, --tty[=false]: 标准 输入 是 TTY 类 型 。 


例如 ， 在 nginx Pod 中 打开 一 个 bash， 可 以 用 : 





$ kubectl exec -it nginx -- bash 





17.port-forward 


映射 本 地 端口 到 Pod。 

命令 格式 为 kubectl port-forward 
POD[LOCAL_ PORT: JREMOTE_PORTT... 
[LOCAL_PORT_N: JREMOTE_PORT_N][flags]. 

文 持 的 参数 主要 有 -p，--pod=""，Pod 名 称 。 


例如 ， 映 射 本 地 端口 8080 到 test_pod 的 80 端 口 : 





$ kubectl port-forward test_pod 8080:80 





18.proxy 
本 地 创建 一 个 访问 Kubernetes API 服 务 的 代理 。 


命令 格式 为 kubectl —_ proxy[--port=PORT][--www=static-dir][--www- 
prefix=prefix][--api-prefix=prefix][flags]. 


文 持 的 参数 主要 有 : 


---accept-hosts="localhost$, 4127.0.0.1$, NE: : 1$": 允许 访问 
的 地 址 ， 正 则 表达 式 格式 ; 


.--accept-paths="A/.*": 允许 访问 的 路 径 ， 正 则 表达 式 格式 ; 
---address="127.0.0.1": 服务 的 IP 地 址 ; 
---api-prefix="/": 映射 API 到 指定 URL 路 径 下 ; 


---disable-filter[=false]: 是 否 过 滤 请 求 ， 打 开 该 选项 将 导致 安全 风 


险 ; 
--p, --port=8001: 代理 的 监听 端口 ， 默 认 将 随机 选取 ; 
---reject-methods="POST, PUT, PATCH": 拒绝 访问 的 HTTP 方 
法 ; 


---reject-paths="/Vapi/./exec, ^api/./run, //api/.*/attach": 拒绝 访问 


的 路 径 ; 


-U 
:-W，--WWw="": 在 给 定 前 缀 路 径 下 提供 静态 HTTP 服 务 ; 


--P, --www-prefix="/static/": 静态 服务 的 资源 所 在 路 径 


--unix-socket="": 监听 在 指定 的 Unix 套 接 字 上 ; 


-> 


19.run|run-container 


运行 容器 〈 默 认 在 后 台 ) ， 类 似 Docker 的 run-d 指 令 。 默 认 会 自动 创 


建 一 个 部 署 或 者 任务 来 管理 创建 的 容 絮 。 


命令 格式 为 kubectl run NAME--image=image[--env="key=value"][-- 


port=port][--replicas=replicas][--dry-run=bool ][--overrides=inline-json] 
[flags]. 


支持 的 参数 主要 有 : 
---attach[=false]: 是 人 否 挂 载 到 运行 的 容器 ; 
---command[=false]: 如 果 配 置 该 选项 ，flag 作 为 运行 命令 传 给 容 





---dry-run[=false]: 模拟 运行 过 程 ， 打 印 命令 ， 但 实际 上 不 执行 ; 
---env=[]: 传递 给 容器 的 环境 变量 ; 
---generator=""; API 生 成 器 名 称 ， 指 定 --restart=Always 情 况 下 默认 


为 Tun/v1'"， 否 则 为 run-pod/v1'; 


---hostport=-1: 映 冉 到 容器 端口 的 闻 点 主机 站 口 ; 
--image="": 要 运行 的 容器 镜像 名 称 





.-]，--labels="": 设置 Pod 的 标签 
---leave-stdin-open[=false]: 保持 标准 输入 挂 载 到 Pod; 


--limits="": 容器 的 资源 限制 ， 例 如 'cpu=200m，memory=512Mi'; 
---no-headers[=false]: 输出 不 打印 标题 栏 ; 


-0，--output="": 输出 格式 ， T rm ee 
template=...|g0-template-file=...|jsonpath=...|jsonpath-file=... 


---output-version=""_ 按照 给 定 版 本 输出 格式 化 数据 ， 默 认为 api- 


version; 
---port=-1: 容器 声明 开放 的 端口 号 ; 
"r, --replicas=1: 容器 复制 的 份 数 ， 默 认为 1; 


---requests="_ 容 占 请 求 的 资源 ， 例 如 'cpu=100m,， 
memory=256M1'; 


---restart="Always": Pod 的 重 局 策略 ， 可 以 为 Always《〈 默 认 值 ) ， 
OnFailure，Never。 如 果 是 'Always'， 则 自动 创建 一 个 部 署 来 管理 Pod， 
个 则 --replicas 必 须 设 为 1; 

"a, --show-all[=false]: 打印 所 有 的 Pod， 包 括 已 经 终止 的 ; 

--sort-by="": 按照 给 定 域 来 对 输出 结果 进行 排序 ; 

--i, --stdin[=false]: 保持 Pod 中 容器 的 标准 输入 处 于 打开 状态 ; 

.--template="": 使 用 的 模板 字符 串 或 文件 路 径 ; 

---tty[=false]: 为 Pod 中 的 每 一 个 容 右 分 配 一 个 TTY。 


例如 ， 启 动 nginx Pod， 并 通过 一 个 复制 控制 器 来 自动 管理 它 ， 保 证 
复制 为 2， 可 以 用 : 














kube aor run nage =nginx --replicas=2 nginx-app --port=80 --env="DOMAIN=cluster" 
replicationcon tr rolle "nginx-app" created 








P _ 此 时 ， 可 以 查看 自动 创建 的 复制 控制 器 ， 保 证 始终 有 2 个 Nginx Pod 
运行 。 


$ kubectl get r 
CONTROLLER CONTATNER(S) lich cia se REPLICAS AGE 
nginx-app ngi =ngi 2 <invalid 





20.expose 


R 给 定 的 复制 控制 器 、Pod 或 者 服务 等 资源 的 选择 器， 发 布 为 新 


命令 格式 为 kubectl expose(-f FILENAMEITYPE NAME)[--port=port] 
[--protocol=TCP|UDP]|[--target-port=number-or-name ][--name=name]|[---- 
extemal-ip=external-ip-of-service]|--type=type][flags]. 


文 持 的 参数 主要 有 : 

---container-port="": 等 价 于 --target-port， 指 定 Pod 的 端口 ; 
---dry-run[=false]: 模拟 输出 发 送 命 令 ， 但 不 执行 ; 
`--external-ip="": 指定 外 部 可 以 访问 服务 的 地 址 ; 

-f, --filename=[]: 资源 模板 文件 所 在 路 径 、 目 录 或 URL; 
---generator="service/v2": 使 用 哪个 API 生 成 器 ; 
-1]，--labels="": 给 生成 服务 添加 标签 


---load-balancer-ip=": 绑 定 到 负载 均衡 句 的 地 址 ， 不 指定 则 上 自动 获 
取 生 成 〈 需 要 外 部 平台 文 持 ) ; 


--name="": 创建 服务 的 名 称 ; 
---no-headers[=false]: 输出 不 打印 头 部 信息 ; 


-0，--output="": 输出 格式 ， ee 
template=...|g0-template-file=...|jsonpath=...|jsonpath-file=... 


---output-version="": 输出 格式 化 对 象 依照 的 版 本 信息 ; 


--OVerrides="": 履 盖 生成 对 象 的 给 定 域 ; 

.--port="": 服务 端口 ; 

---protocol="TCP": 服务 监听 次 型 ; 

---record[=false]: 记录 当前 kubect 操 作为 服务 的 注解 信息 ; 
---save-config[=false]: 保存 配置 为 服务 的 注解 信息 ; 
.--Selector="": 标签 选择 器 ; 


---session-affinity="": 指定 服务 的 会 话 的 关联 性 ， 可 以 为 None'〈 简 
单 轮换 ) 或 'ClientIP'〈 同 一 个 客户 端的 请 求 分 发 到 同一 个 后 端 〉; 


--a, --show-all[=false]: 显示 所 有 资源 信息 ， 包 括 处 于 终止 状态 的 
Pod; 


---show-labels[=false]: 显示 标签 信息 ; 

--sort-by="": 指定 输出 的 排序 域 ; 

-target-port=": Pod 上 的 端口 ， 不 给 定 则 默认 跟 服务 端口 相同 ; 
--template="": 指定 使 用 模板 文件 时 ， 模 板 文件 的 路 径 ; 


---type="ClusterIP": 服务 的 类 型 ， 包 括 ClusterIP、NodePort 或 
LoadBalancer。 


例如 ， 将 某 个 Pod testpod， 人 发 布 为 监听 在 80 端 口 的 web 服务 : 








$ kubectl expose pod test-pod --port=80 --name=web 





21.autoscale 


目 动 根据 需求 来 扩展 一 个 部 署 RR PE as) PPH. K 
似 AWS 中 目 动 扩展 组 的 概念 。 


命令 格式 为 kubectl autoscale(-f FILENAME|TYPE 








NAME|TYPE/NAME)[--min=MINPODS ]--max=MA XPODS[--cpu- 
percent=CPU][flags]. 


支持 的 参数 参见 前 一 小 节 的 expose 参 数 ， 部 分 参数 说 明 如 下 : 
---cpu-percent=-1: 所 有 Pod 上 的 CPU 平均 使 用 比例 ; 
---generator="horizontalpodautoscaler/v1beta1": 指定 API 生 成 器 ; 
---max=-1: 自动 扩展 Pod 的 上 限 值 ， 必 备 项 ; 

---min=-1: 目 动 扩 展 Pod 的 下 限 值 ; 

-name="": 自动 扩展 的 名 字 ， 默 认 采 用 操作 资源 的 名 字 。 





22.rollout 
对 一 个 部 署 进行 操作 。 


命令 格式 为 kubectl rollout SUBCOMMAND(TYPE 
NAME|TYPE/NAME)[flags] . 


支持 的 子 命令 包括 : 

‘history: 查看 rollout 的 历史 记录 ; 

‘pause: 标记 给 定 资 源 为 暂停 状态 ; 

‘resume: 继续 一 个 暂 集 状 态 的 资源 ; 

‘undo: 撤销 ， 回 到 之 前 的 rollout。 

参数 主要 为 -f，--filename=[]， 资 源 模板 文件 路 径 、 目 录 或 URL。 
23.label 

更 新 一 个 资源 的 标签 信息 。 

命令 格式 为 kubectl label[--overwrite](-f FILENAME|TYPE 


NAME)KEY_1=VAL 1...KEY_N=VAL_N[--resource-version=version| 
[flags]。 


支持 的 参数 参见 前 面 expose 参 数 ， 部 分 参数 说 明 如 下 : 
---all[=false]: 选择 指定 类 型 的 所 有 资源 ; 
---overwrite[=false]: 是 人 否 人 允许 覆 靖 已 有 标签 的 值 ; 


.--Tesource-version="": 检查 资源 版 本 信息 是 否 匹 配给 定 值 ， 不 匹配 
则 拒绝 修改 ; 


.-]，--selector="": 标签 选择 器 。 





例如 ， 为 test_pod 资 源 添 加 标签 release=beta。 





$ kubectl label -f test_pod.json release=beta 





24.annotate 

目 更 新 一 个 资源 的 注解 信息 。 

命令 格式 为 kubectl annotate[--overwrite](-f{ © FILENAME|TYPE 
NAME)KEY_1=VAL 1...KEY_N=VAL_N[--resource-version=version| 
[flags]. 

文 持 的 参数 参见 前 面 的 expose 和 1label 参 数 。 

25.config 

修改 kubeconfig 文 件 。 

命令 格式 为 kubectl config SUBCOMMAND[flags]。 

支持 子 命令 包括 : 

current-context: 显示 当前 的 上 下 文 ; 


“set-context: 配置 上 下 文 信 息 ; 


-use-context: 切换 当前 上 下 文 到 指定 上 下 文 ; 

set-cluster: 配置 一 个 集群 的 信息 ， 名 字 不 存在 则 新 创建 ; 
set: 配置 kubeconfig 文 件 中 的 键 值 ; 

‘unset: 取消 kubeconfig 文 件 中 的 键 值 ; 

‘view: 查看 kubeconfig 文 件 信息 ; 

set-credentials: 配置 kubeconfig 文 件 中 的 用 户 认证 信息 。 
支持 的 参数 主要 有 --kubeconfig=""， 指 定 kubeconfig 文 件 。 
26.explain 

显示 资源 类 型 的 说 明文 档 。 可 以 快速 查看 某 个 资源 的 解释 。 
命令 格式 为 kubectl explain RESOURCE。 

27.convert 

转换 配置 文件 到 其 他 API 版 本 。 

命令 格式 为 kubectl convert-fFILENAME[flag]。 
支持 的 参数 参见 前 面 的 expose 的 参数 ， 部 分 参数 说 明 如 下 : 
---local[=true]: 不 跟 API 服 务 交 互 ， 仅 本 地 运行 
---schema-cache-dir="~/.kube/schema": API schemas 所 在 目录 ; 


---validate[=true]: 执行 命令 前 对 输入 进行 校 验 。 


27.7 ”网络 设计 


网 络 对 于 集群 来 说 是 十 分 关键 的 功能 。Kubernetes 在 设计 上 考虑 了 
对 网 络 的 需求 和 模型 设计 ， 但 自 呈 并 没有 重新 实现 ， 而 是 可 以 另外 磐 入 
现 有 的 网 络 管理 方案 。 同 时 ，Kubernetes 试 图 通过 插件 化 的 形式 来 采用 
AppC 提 出 的 Container Networking Interface CCNI) 规范 。 这 意味 着 ， 将 
来 所 有 文 持 Kubernetes 的 网 络 插件 都 要 遵循 该 规范 。 


实际 上 ，CNI 的 模型 十 分 简洁 ，Kubernetes 只 需要 告诉 插件 ， 把 某 
个 Pod 挂 载 到 某 个 网 络 、 或 者 从 某 个 网 络 凶 载 ， 其 他 工作 都 由 插件 来 完 
成 。Kubernetes 自 身 不 需要 了 解 网 络 的 具体 细节 。 

对 于 Kubernetes 集 群 来 说 ， 一 般 要 考虑 如 下 四 种 通信 场景 : 


-Pod 内 《容器 之 间 ) : 因为 容器 共享 了 网 络 命名 空间 ， 可 以 通过 lo 
直接 通信 ， 无 需 额 外 文 持 ; 


-Pod 之 间 : 又 分 在 同一 个 节点 上 和 在 不 同 节 点 上 ， 前 者 通过 本 地 网 
桥 通信 即 可 ， 后 者 需要 在 各 目 绑 定 的 网 桥 之 间 打 通 ; 


:Pod 和 服务 之 间 : 因为 服务 是 虚拟 的 ClusterITP， 因 此 ， 需 要 节点 上 
配置 代理 机 制 〈 例 如 基于 iptables) 来 映射 到 后 端的 Pod。 


外 部 访问 服务 : 要 从 外 面 访 问 服 务 ， 必 须 经 过 负载 均衡 器 ， 通 过 
外 部 可 用 的 地 址 映射 到 内 部 的 服务 上 。 


其 实 Docker 默 认 采 用 iptables 实 现 NAT 的 方式 〈 后 来 也 支持 overlay 模 
式 ， 但 所 提出 的 CNM 规 范 未 被 Kubernetes 接 纳 ) 已 经 通过 借用 主机 地 址 
组 成 了 简单 的 网 络 。 但 Kubernetes 认 为 NAT 方 式 实现 跨 节 点 通信 和 就 需要 
占用 本 地 端口 映射 ， 这 会 给 服务 层面 的 访问 融 来 及 烦 。 

Kubernetes 在 网 络 方面 的 设计 理念 包括 如 下 几 点 : 

.所 有 容器 之 间 不 使 用 NAT 就 可 以 互相 通信 ; 


“所 有 节点 跟 容器 之 间 不 使 用 NAT 束 可 以 互相 通信 ; 























.容器 自己 看 到 的 地 址 ， 跟 其 他 人 访问 自己 使 用 的 地 址 应 该 是 一 样 
的 (其 实 还 是 在 说 不 要 有 NAT) 。 


可 以 看 到 ， 这 个 设计 理念 跟 云 平台 里 面 的 虚拟 机 网 络 十 分 类 似 ， 这 
意味 着 一 些 基于 虚拟 机 云 的 项 目 可 以 很 方便 地 迁移 到 Kubernetes 平 台 
se 











要 实现 这 几 点 需求 ， 可 以 有 两 种 设计 思路 : 直接 路 由 和 Overlay 网 
络 ， 这 也 是 现在 云 计 算 领 域 常 见 的 网 络 实现 方式 。 


1. 直 接 路 由 


这 种 思路 最 简单 ， 所 有 Pod 直 接 骏 露 在 物理 网 络 上 ， 大 家 彼此 地 址 
可 见 ， 不 能 有 地 址 冲突 ， 不 同 子 网 之 间 通 过 路 由 机 制 进行 三 层 转发 。 


此 时 ， 各 个 Node 上 会 创建 cbr0 网 桥 ， 并 且 需 要 在 开局 本 地 转发 文 


FF: 














$ sysctl net.ipv4.ip_forward=1 


另外 ， 配 置 Docker 服 务 的 默认 网 桥 ， 并 且 取 消 Docker 对 iptables 的 上 自 
动 修 改 : 


DOCKER_OPTS="- -bridge=cbrg --iptables=false --ip-masq=false" 


为 了 让 Pod 可 以 通过 Node 地 址 来 访问 外 网 (因为 Pod 的 私有 数据 地 
址 是 无 法 路 由 到 外 部 的 ) ， 可 以 配置 SNAT: 


$ iptables -t nat -A POSTROUTING ! -d 10.0.0.0/8 -o ethO -j MASQUERADE 








这 种 实现 的 最 大 优势 是 简洁 ， 可 以 直接 复 用 底层 的 物理 设备 。 目 
包括 Google 的 GCE 和 微软 的 容 需 云 在 内 的 许多 实现 都 支持 这 种 模 
Tc 

2.Overlay | 24% 


Overlay) 24 Hy 2 8 HE, NRE RGN. ABT 


Flannel、Open-VSwitch、Weave、Calico 等 一 系列 方案 都 能 实现 用 
Overlay 网 络 来 联通 不 同 节 点 上 的 Pod。 


以 Flannel 网 络 为 例 ， 提 前 为 各 个 Node 分 配 互 不 重合 的 子 网 ， 例 如 将 
完整 的 172.16.0.0/16 私 有 网 段 划 分 为 多 个 子 网 172.16.10.0/24、 
172.16.11.0/24......; 各 个 Node 上 的 Pod 分 配 网 络 地 址 的 时 候 只 能 从 这 个 
子 网 范围 内 分 配 ， 避 免 了 地 址 的 冲突 ， 如 图 27-5 所 示 。 


Pod 
172.16,11.3/24 


172.16.10.3/24 


docker 172.16.11.1/24 


Be MW Ss 
flannel. ， 


` 172.16.10.0/16 ， 


flannel. | 
172161L016 ， 





物理 网 络 


图 27-5 Kubernetes{# FH Flannel) 28 


所 有 Pod 都 挂 载 到 docker0 网 桥 上 ， 网 桥 的 内 部 接口 〈docker0) 作为 


子 网 网 关 接 口 。 


同时 ， 在 各 个 Node 上 创建 网 络 接 口 〈 如 图 中 的 flannel.1) ， 该 接口 
分 配子 网 的 0 号 地 址 ， 负 责 处 理 往 其 他 节点 发 送 的 网 包 。 当 docker0 收 到 
目标 地 址 为 其 他 节点 上 Pod 的 网 包 时 ， 根 据 路 由 表 会 扔 到 flannel.1 接 口 ， 
由 flanneld 进 程 进行 封装 ， 通 过 隧道 发 送 到 对 应 节点 上 进行 解 封装 。 


以 左边 市 反 为 例 ， 本 地 路 由 表 为 : 





$ route -en 
Kernel IP routing table 


Destination eway Genmask Flags MSS Window irtt Iface 
0.0.0.0 192.168.122.1 0.0.0.0 UG 9 0 © etho 
172.16.0.0 0.0.0.0 255.255.0.0 U 00 9 flannel.1 
172.16.10.0 0.0.0.0 255.255.255.0 U 00 9 dockerO 
191.167.121.1 0.0.0.0 255.255.255.0 U 00 9 etho 





27.8 ”本 章 小 结 


本 章 介 绍 了 Kubernetes 系 统 的 设计 、 核 心 概念 、 主 要 组 件 ， 以 及 各 
见 操作 和 网 络 模型 。 通 过 这 些 知 识 ， 相 信 读 者 对 于 Kubernetes 的 功能 有 
了 直观 认识 ， 并 可 以 利用 它 来 搭建 自己 的 容器 云 平 台 。 


虽然 Kubernetes 自 身 并 没有 提出 PaaS 或 者 DevOps 的 理念 ， 但 它 提供 
的 资源 抽象 接口 和 生命 周期 管理 ， 让 用 户 可 以 很 方便 的 进行 二 次 开发 。 


实际 上 ，Kubernetes 自 身 很 好 地 展现 了 一 套 高 效 的 分 布 式 系统 该 如 
何 设 计 ， 以 及 为 了 满足 业务 需求 如 何 把 握 架 构 。 推 荐 感 兴 趣 的 读者 进 一 
步 查 看 Kubernetes 的 源码 实现 ， 可 以 更 深入 地 探知 其 技术 细节 。 




















第 28 草 ”其 他 相关 项 目 


Docker 虽 然 属于 新 兴 技 术 ， 但 围绕 它 已 经 出 现 了 不 少 优秀 的 技术 项 
目 ， 包 括 利用 Docker 进 行 云 计 算 平台 搭建 ， 特 别 是 实现 平台 即 服务 ， 利 
用 Docker 来 实现 高 效 的 持续 集成 服务 ， 以 及 对 大 规模 Docker 容 器 的 管理 
和 进行 编程 开发 等 。 


本 章 将 介绍 这 方面 的 一 些 典 型 项 目 ， 包 括 平 台 即 服务 、 持 续集 成 、 
容器 管理 、 编 程 开发 、 网 络 支 持 、 日 志 处 理 、 服 务 代 理 、 标 准 与 规范 


等 。 





> 





28.1 平台 即 服务 方案 


PaaS (Platform as a Service， 平 台 即 服务 ) 是 希望 提供 一 个 统一 的 
操作 系统 平台 环境 ， 让 所 有 软件 直接 运行 在 它 上 面 ， 而 无 需 复杂 配置 。 
Docker 天 生 的 应 用 封装 特性 为 实现 PaaSs 提 供 了 某 种 便利 。 这 里 介绍 几 个 
基于 Docker 相 关 技 术 的 PaaS 项 目 。 








28.1.1 Deis 


Deis 项 目 官方 网 站 为 http://deis.io， 代 码 在 https://github.com/deis/deis 
维护 。 


Deis 是 开源 的 PaaS 项 目 ， 基 于 Go 语言 实现 ， 遵 循 Apache 2.0 协 议 。 
由 OpDemand 公 司 在 2013 年 7 月 发 起 ， 目 前 还 处 于 开发 阶段 。OpDemand 
公司 提供 对 Deis 的 商业 服务 支持 。 


Deis 试 图 提供 轻 量 级 的 PaaS 实 现 ， 为 用 户 提供 简单 的 应 用 管理 和 部 
署 。Deis 基 于 Docker 项 目 和 CoreOS 项 目 ， 通 过 简单 的 git push 命 令 即 可 部 
署 应 用 ， 加 速 集 成 和 部 普 过 程 ， 还 文 持 对 应 用 容器 通过 单条 命令 进行 扩 
展 。 





在 染 构 设计 上 ，Deis 整 合 了 一 系列 Docker 容 费 ， 可 以 部 获 到 公有 
云 、 私 有 云 ， 以 及 本 地 环境 中 ， 并 提供 了 完整 的 测试 、 诊 断 的 工具 。 


28.1.2 Flynn 


Flynn 项 目 官方 网 站 为 http://flynn.io， 代 码 
在 https://github.comyflynn/flynn 维 护 。 


Flynn 项 目 由 一 个 创业 团队 在 2013 年 7 月 发 起 ， 基 于 Go 语言 开发 ， 目 
前 还 处 于 beta 版 阶段 。Flynn 项 目的 发 起 也 是 由 于 一 些 部 署 实 践 问 题 : 在 
部 署 SOA (Service Oriented Architecture， 是 大 规模 分 布 式 系统 常 采用 的 
架构 风格 ， 需 要 功能 组 件 之 间 的 松 耘 合 ) 产品 至 公有 云 的 过 程 中 ， 往 往 
需要 人 工 部 署 和 维护 大 量 不 同 功能 部 件 。 


Flynn 基 于 Heroku 项 目 上 。 它 受到 Omege 概 念 〈 来 自 剑 桥 大 学 、 加 州 
伯克利 大 学 和 Google 公 司 合 作 的 《Omega: flexible, scalable schedulers 





for large compute clusters) WX) 的 局 发 ，Flynn 不 仅 能 完成 简单 可 控 的 
部 署 ， 还 能 进行 自由 的 扩展 ， 并 提供 数据 库 管 理 等 功能 。Flynn 可 以 方 
便 的 实现 一 套 比较 理想 的 PaaS 方 案 。 


在 设计 上 ，Flynn 项 目 尽量 保持 API 驱 动 和 模块 化 ， 以 便 模 块 支持 不 
同 的 实现 方案 。 底 层 (layer 0) 实现 一 套 文 持 服务 发 现 的 资源 管理 框 
架 ， 上 层 (layer 1) 实现 适合 部 署 和 维护 的 应 用 组 件 。 


目前 ，Flynn 项 目 己 经 获得 了 Shopify 等 公司 的 文 持 。 
u] Heroku 是 一 个 文 持 多 种 编程 语言 〈 包 括 Ruby、Java、INode.jS、 


Scala、Clojure、Python 以 及 PHP 和 Perl 等 ) 的 云 平台 即 服 务实 现 。 在 
2010 年 被 Salesforce.com 收 购 。 





28.2 ”持续 集成 平台 Drone 


目前 ，Drone 项 目 利用 Docker 技 术 ， 实 现 持 续集 成 (Continuous 
Integration) 平台 服务 。 





Drone 项 目 官 方 网 站 为 http://drone.io， 代 码 
在 https://github.com/drone/drone 维 护 。 

Drone 是 开源 的 开源 持续 集成 平台 项 目 ， 基 于 Go 语言 实现 ， 遵 循 
Apache 2.0 协 议 。 该 项 目 最 初 由 Drone 公 司 在 2014 年 2 月 发 起 ， 目 前 还 处 
于 开发 阶段 。Drone 公 司 基 于 它 ， 提 供 文 持 Github、Bitbucket 和 Google 
Code 等 第 三 方 代 码 托管 平台 的 持续 集成 服务 。 

Drone 基 于 Docker 和 AUFS 实 现 ， 为 用 户 提 供 基 于 网 站 的 操作 。 


登录 网 站 后 ， 可 以 选择 源码 的 存放 服务 ， 如 图 28-1 所 示 。 


drone.iO beta Dashboard Docs Account | New Project | Logout 


Repository Setup 


Github Bitbucket Google Code 





图 28-1 选择 源码 的 存放 服务 


”此 处 选择 Github 服 务 ， 然 后 从 仓库 列表 中 选择 项 目 ， 如 图 28-2 所 
示 。 


dronejo beta Dashboard cont Mo Mn 


p Repository Setup 


bradrydzewski / routes 
https://github.com/bradrydzewski/routes 


bradrydzewski / blog.drone.io 
https:/github.com/bradrydzewski/blog.drone.io 


bradrydzewski / buddy 
https://github. com/bradrydzewski/buddy 


bradrydzewski / jkl @ 
https://github. com/bradrydzewskiik 





图 28-2 ”从 仓库 列表 中 选择 项 目 
配置 项 目的 语言 种 类 ， 如 图 28-3 所 示 。 








dronejo beta shia Account | Newel Logout 


hello-world 
https://bitbucket.com/brydzewski/hello-world 


Project Setup 


eeg 


Node.js (Beta) | PHP (Beta) Python (Beta) | | Ruby (Beta) 


Groovy (Beta) | | Scala (Beta) C/CH 








图 28-3 配置 项 目的 语言 种 类 


接 下 来 ， 需 要 检查 创建 命令 是 否 正 确 ， 并 根据 具体 情况 进行 调整 ， 
如 图 28-4 所 示 。 








dronejo beta Dashboard Docs Account New Poad 


Logout 


hello-world 


https://bitbucket.com/brydzewski/hello-world Project Setup 


Setup your Build Script 


Your checkout directory is /hone/ubuntu/sre/bit ucket. con/brydzewski/hello-world 





npm -d install 
npm test 


Enter one command per line (ex: echo foo) 


图 28-4 检查 和 配置 创建 命令 


最 后 ， 项 目 就 可 以 在 Drone 平 台 上 进行 持续 集成 管理 了 ， 如 图 28-5 
所 示 。 





dronelo beta ashboard L iwed opat 


hello-world 
https://bitbucket.com/brydzewski/hello-world Hoy Downlods | Satins 


Build N Kickoff a build request. Use for testing when you change your build script. 
ith Make sure to actually save changes first (Save is at the bottom). 


Build & Test 


Deployments 


Language 
Notifications di 


Node 0.8 





Artifacts 
Databases 
Status Badges D MySQL 
B PostgreSQL 


Repository Bi 


Members Commands 


working directory /hone/ubuntu/sre/bitbucket.con/brydzewski/hello-world 


npm -d install 
npm test 








图 28-5 ”进行 持续 集成 管理 


28.3 Aam 


Docker 对 单个 容器 操作 已 经 提供 了 功能 强大 的 命令 行 操作 和 API 操 
作 接 口 ， 但 是 缺乏 同时 对 多 个 容器 特别 是 容 占 集群 》 进 行 管理 的 方 
案 ， 为 外 还 缺乏 图 形 界面 的 管理 平台 。 


目前 ， 己 经 有 寿 干 开源 项 目 试图 实现 更 为 强大 和 便捷 的 Docker 管 理 
工具 ， 包 括 Citadel、Shipyard、DockerUI、Panamax 等 。 





28.3.1 Citadel 


Citadel 项 目 官方 网 站 为 http://citadeltoolkit.org， 代 码 
在 https://github.com/citadel/citadel 维 护 。 





Citadel 项 目 于 2014 年 4 月 由 Citadel 团 队 正 式 推出 ， 基 于 Go 语言 实 
现 ， 目 标 是 提供 一 套 在 由 Docker 容 器 构成 的 集群 中 对 容器 进行 调度 的 工 


具 ， 主 要 包括 集群 管理 组 件 和 调度 组 件 。 


.集群 管理 组 件 〈Cluster Manager) 负责 管理 集群 的 状态 ， 通 过 调用 
Docker 提 供 的 API 来 连接 到 主机 ， 管 理 容器 。 


:调度 组 件 (Scheduler) 决策 如 何 进 行 调度 ， 支 持 多 套 调 度 方 法 ， 
aa eI et eee ee cree 
制 |。 

使 用 Citadel 首 先 要 为 调度 组 件 提 供 容 器 类 型 ， 并 指定 调度 所 关心 的 
eae ee Ree aot vee 
LEX. 


28.3.2 Shipyard 





Shipyard 项 目 官方 网 站 为 http://shipyard-project.com/， 代 码 
在 https://github.com/shipyard/shipyard 维 护 。 





Shipyard 项 目 于 2013 年 11 月 发 起 ， 它 目前 基于 Citadel 项 目 《〈 部 分 开 











发 者 来 自 同一 团队 ) ， 和 希望 提供 一 僚 对 Docker 集 群 中 资源 进行 管理 的 工 
有 其， 包括 对 Docker 容 器 、 主 机 每 资源 的 管理 。 它 的 最 大 特点 是 在 核心 部 
件 之 外 还 文 持 扩展 镜像 ， 可 以 根据 需求 灵活 实现 应 用 负载 均衡 、 集 中 日 
志 管 理 和 上 自动 化 部 普 等 功能 。 


此 外 ，Shipyard 还 提供 了 方便 用 户 使 用 的 web 界面 ， 如 图 28-6 所 
示 ， 功 能 更 加 强大 的 命令 行 操作 接口 ， 以 及 统一 的 API。 














shipyard 


@Dashboard — E Containers  @ Engines E Events 


CPU Memory 
角 9/26/14 5:26 PM stort ef85b84doff 
ehazlett/go-demo:latest 


9/26/14 5:26 PM create ef85b84daff 
ehazlett/go-demo:latest 


9/26/14 4:30 PM delete-account 
name=foo 


9/26/14 4:30 PM add-account 
name=foo 


9/26/14 4:20 PM create 906523045f1d 
ehazlett/go-demolatest 





图 28-6 Shipyard Web 界 面 


28.3.3 DockerUI 


DockerUI 项 目 目 前 在 https://github.com/crosbymichael/dockerui 维 护 。 


该 项 目 于 2013 年 12 月 发 起 ， 主 要 基于 html/js 语 言 实 现 ， 遵 循 MIT 许 
可 。 用 户 可 以 通过 下 面 的 命令 简单 测试 该 工具 : 





$ docker build -t crosbymichael/dockerui github.com/crosbymichael/dockerui 
$ docker run -d -p 9000:9000 -v /var/run/docker.sock:/docker.sock crosbymichael/ 
dockerui -e /docker.sock 





运行 成 功 后 ， 打 开 浏 览 器 ， 访 问 http:W/:9000， 如 图 28-7 所 示 。 
28.3.4 Panamax 


Panamax 项 目 官 方 网 站 为 http://panamax.io， 代 码 
在 https://github.com/CenturyLinkLabs/panamax-ui 维 护 。 


Panamax 项 目 诞生 于 2014 年 3 月 ， 由 CenturyLink 实 验 室 发 起 (是 该 
复杂 的 Docker 容 絮 应 用 的 管理 ， 例 如 利用 简单 拖 搜 来 完成 操作 。 
Panamax 项 目 基于 Docker、CoreOS 和 Fleet， 可 以 提供 对 容器 进行 自动 化 
管理 和 任务 调度 。 


DockerU| 


Containers: 


id Image Created Status 


Go8aðdd.. 5886995bfd18 bin/sh -c /usr/locaVbin/sentry =Confg=/sentry.con py start 1370720983 





(600316. 26d8f45fo1d3  /bin/sh -c /usr/bin/redis-server /etc/reds/redis, cont 1370716229 


图 28-7” ”DockerUI 项 目 


Panamax 项 目 基 于 Ruby 语 言 ， 遵 循 Apache 2 许可 ， 可 以 部 署 在 
Google、Amazon 等 云 平台 其 至 本 地 环境 。 


此 外 ，Panamax 还 提供 了 开源 应 用 的 模板 库 ， 来 集中 管理 不 同 应 用 
的 配置 和 架构 ， 如 图 28-8 所 示 。 


MaX Q seac 总 WNAE 四 oocuwENTATION 


Search Panamax Templates & Docker Repositories 


wie il 


Examples: Fells reds, NGINX, mongo0B, you get the picture. 





Or, try one of these popular searches; 


am C= ce d 


From the GenturyLink Labs Blog 


August 7,204 How to Use Docker In Cloud 
Foundry with Coin Humphreys 


Ayqst7,2014 Caching Docker Images 
4d) 23,2014 Optimizing Dockor images 
dy 22,2014 The Future of Docker 


July 16, 2014 What Makes a Good REST API 
Framework? (part 1) 





图 28-8 Panamax“ H 


28.3.5 Seagull 


Seagull H/R THEIRE Se RA AY FP’ Docker ¥ ais Fl 45a RK A Web 
界面 监控 工具 ， 目 前 在 https:/github.com/tobegit3hub/seagull 维 护 ， 如 图 
28-9 上 所 示 o 





EELER: 
下 
In gegegnoceeeen z| 





ithub 


Images page display all docker Seagull is open source In Github. 
images to start, stop and delete, Welcome to contribution and issues, 























图 28-9 Seagull H 


Seagull 基 于 Go 和 JavaScript 实 现 的 ， 集 成 了 Beego、AngularJS、 








Bootstrap、Bower、JQuery 和 Docker 等 工具 。 它 在 本 地 运行 一 个 web 服 
务 ， 通 过 Beego 实 现 的 API 服 务 器 不 断 请 求 Docker 本 地 套 接 字 以 管理 
Docker。 使 用 方法 如 下 。 


下 载 镜像 : 





$ docker pull tobegit3hub/seagull 





运行 镜像 : 





$ docker run -d -p 10086:10086 -v /var/run/docker.sock:/var/run/docker. 
socktobegit3hub/seagull 





然后 就 可 以 通过 浏览 器 访问 地 址 http://127.0.0.1:10086 登 录 管 理 界 
面 。 


官方 Dockerfile 镜 像 如 下 : 





# Base image is in https://registry.hub.docker.com/_/golang/ 
# Refer to https://blog.golang.org/docker for usage 
FROM golang 

MAINTAINER tobe tobeg300gle@gmail.com 

ENV REFREST_AT 20141023 

# ENV GOPATH /go 

# Install dependency 

RUN go get github.com/astaxie/beego 

RUN go get github.com/beego/bee 

RUN go get github.com/tobegit3hub/seagull 

# Go to the folder of seagull 

WORKDIR /go/src/github.com/tobegit3hub/seagull/ 

# Build the project 

RUN go build seagull.go 

# This should be the same as httpport in conf/app.conf 
EXPOSE 10086 

# Run the server 

CMD ["./seagull"] 





28.3.6 Dockerboard 


Dockerboard 是 一 个 可 视 的 管理 工具 ， 让 Docker 管 理 变 得 简单 。 项 目 
地 址 : https://github.com/dockerboard， 遵 循 MIT 协 议 ， 如 图 28-10 所 示 。 


Dockerboard 


Docker Version 


ApVersion 

Arch amdé4 
GitCommit 5bc2tté 
GoVersion  gol.33 
KernelVersion 3,16, -tinycore64 
0s linux 

Version 14th 


Host: 
TY 
TL 
Tse 
TK 
Tse 





图 28-10 Dockerboardi H 
Dockerboard 目 前 由 两 部 分 组 成 : dockerboard 和 bluewhale: 


.dockerboard 是 由 Go 开发 的 后 端 API 服 务 。 


bluewhale 是 由 Angular.js 搭 建 的 前 端 Web UI. 

安装 人 使 用 

默认 Dockerboard 可 以 通过 http://127.0.0.1:8001 继 续 访 问 管理 ， 如 果 
使 用 boot2docker， 可 以 通过 http://$(boot2docker ip 2>/dev/null):8001。 下 
面 介绍 几 种 安装 方式 。 


通过 Go 进行 安装 : 





go get github.com/dockerboard/dockerboard 

go install github.com/dockerboard/dockerboard 

git clone --depth 1 https://github.com/dockerboard/bluewhale.git 
dockerboard -h 

$(boot2docker shellinit) 

dockerboard server -s bluewhale/dist 

open http://$(boot2docker ip 2>/dev/null) :8001 

从 Docker Hub 获 取 Image 进 行 安装 

$ docker pull dockerboard/dockerboard 

$ docker run -d -p 8001:8001 -v /var/run/docker.sock:/var/run/docker.sock --name 
dockerboard dockerboard/dockerboard 


A ARARA RAAH 





当然 也 可 以 通过 Dockerfile 构 建 : 





FROM golang 

MAINTAINER fundon cfddream@gmail.com 

RUN go get github.com/dockerboard/dockerboard 

ENV GOPATH /go/src/github.com/dockerboard/dockerboard/Godeps/_workspace:/go 
WORKDIR /go/src/github.com/dockerboard/dockerboard/ 

RUN go build dockerboard.go 

RUN git clone --depth 1 https://github.com/dockerboard/bluewhale.git /bluewhale 
EXPOSE 8001 

ENTRYPOINT ["./dockerboard", "server", "-s", "/bluewhale/dist"] 





28.4 编程 开发 


由 于 Docker 服 务 端 提供 了 REST 风 格 的 API， 通 过 对 这 些 API 进 一 步 
地 封装 ， 可 以 提供 给 各 种 开发 语言 作为 Docker 的 使 用 库 。 


这 里 以 docker-py 项 目 为 例 ， 介 绍 在 Python 语言 中 对 Docker 相 关 资 源 
进行 的 操作 。 


1. 安 装 docker-py 





$ sudo 
$ sudo pip install docker-py 





安装 后 可 以 发 现 ， 代 码 结构 十 分 清晰 ， 主 要 提供 了 Client 类 ， 用 来 
封 效 提供 用 户 可 以 用 Docker 命 令 执行 的 各 种 操作 ， 包 括 build、run、 


commit. create_container、info 等 接口 。 


对 REST 接 口 的 调用 使 用 了 request 库 。 对 于 这 些 API， 用 户 也 可 以 通 
过 curl 来 进行 调用 测试 。 


2. 使 用 示例 
打开 Python 的 终端 ， 首 先 创 建 一 个 Docker 客 户 端 连接 : 





$ sudo python 
>>> import docker 
>>> c = docker.Client(base_url='unix://var/run/docker.sock', version='1.15', timeout=10) 





通过 info0) 方 法 查看 Docker 系 统 信息 : 





>>> c.info() 

{u'KernelVersion': u'3.13.0-24-generic', u'NFd': 19, u'MemoryLimit': 1, u'InitShai': 
u'', u'SwapLimit': ©, u'Driver': u'aufs', u'IndexServerAddress': u'https:// 
index.docker.io/vi/', u'NGoroutines': 27, u'Images': 200, u'InitPath': 
u'/usr/bin/docker', u'Containers': 2, u'ExecutionDriver': u'native-0.2' 

u bug': 0, u'NEventsListener': 0, u'DriverStatus': [[u'Root Dir', u'/var 
/lib/docker/aufs'], [u'Dirs', u'204']], u'OperatingSystem': u'Ubuntu 14.04.1 
LTS', u'IPv4Forwarding': 1} 





通过 images() 和 containers() 方 法 可 以 查看 本 地 的 镜像 和 容器 的 列 
表 : 





>>> c.images() 

[{u'Created': 1414108439, u'VirtualSize': 199257566, u'ParentId': 
u'22093c35d77bb609b9257f fb2640845ec05018e3d96cb939F68d0e19127F1723', 
u'Repotags': [u'ubuntu:latest'], u'Id': u'5506de2b643be1e6febbf3b8a240760 
€6843244c41e12aa2f60ccbb7153d17f5', u'Size': O}] 

>>> c.containers() 

[{u'Status': u'Up 5 seconds', u'Created': 1415086513, u'Image': u'ubuntu:latest', 
u'Ports': [], u'Command': u'/bin/bash', u'Names': [u'/romantic_blackwell'], 
u'Id': u'f51f2e4cc6df8829baa00018fe3a9e5112cc4d0786cc674d621e51ab795c9Fd6' }] 





通过 create_container() 方 法 来 创建 一 个 容器 ， 之 后 局 动 它 : 





>>> container = c.create_container(image='ubuntu:latest', command='bash' ) 
>>> print(container) 
{u'Id': u'a8439e4c8e64a94a287d408f dc3ff9a0b4a8577Fe3b5e32975b790afb41414aFf', 
u'Warnings': None} 
>>> c.start(container='a8439e4c8e64a94a287d408fdc3ff9a0b4a8577Fe3b5e32975b790afb41414af ' ) 





可 见 ， 所 提供 的 方法 与 Docker 提 供 的 命令 都 十 分 类 似 。 实 际 上 ， 在 
执行 Docker 命 令 的 时 候 ， 也 是 通过 Docker 提 供 的 客户 端 进行 了 封装 ， 并 
回 服务 端 发 起 API 请 求 。 


28.5 ”网络 支持 


围绕 Docker 网 络 的 管理 和 使 用 ， 现 在 已 经 诞生 了 一 些 方 便 用 户 操作 
的 工具 和 项 目 ， 代 表 性 的 工具 包括 pipework、Flannel、Weave 以 及 Calico 
项 目 。 





28.5.1 pipework 


JerOme Petazzonj 编 写 了 一 个 叫 pipework 的 shell 脚 本 ， 代 码 托管 
在 https://github.conyjpetazzo/pipework， 该 工具 封装 了 底层 通过 ip、brctl 
等 网 络 设 备 操作 命令 ， 可 以 简化 在 比较 复杂 的 场景 对 容 右 连接 的 操作 命 
ar 

使 用 该 工具 ， 可 以 轻松 地 配置 容器 的 IP 地 址 、 为 容器 划分 VLan 等 功 
能 。 

例如 ， 分 别 启动 两 个 终端 ， 在 其 中 创建 两 个 测试 容器 cL 和 c2， 并 得 
看 默认 网 卡 配 置 。 


利用 pipework 为 容 圳 cL1 和 c2 诡 加 新 的 网 卡 eth1， 并 将 它们 连接 到 新 
创建 的 br1 网 桥 上 ， 如 下 所 示 : 





r1 c1 192.168.1.1/24 
c2 192.168.1.2/24 





此 时 在 主机 系统 中 查看 网 桥 信 息 ， 会 发 现 新 创建 的 网 桥 br1， 并 且 
有 两 个 veth 亲 口 连 接 上 去 : 





$ sudo brct1 show 
bridge name id STP enabled 
bri 8000. 868b605fc7a4 no vethip117805 

veth1p117880 
dockerg 8000.56847afe9799 veth89934d8 





此 时 ， 容 器 c1 和 c2 可 以 通过 子 网 192.168.1.0/16 相 互 连 通 。 


为 外 ，pipework 还 支持 指定 容器 内 的 网 卡 名 称 、MAC 地 址 、 网 络 掩 
人 码 和 网 关 等 配置 ， 甚 至 通过 macvlan 连 接 容 器 到 本 地 物理 网 卡 ， 实 现 跨 
主机 通信 。 





pipework 代 码 只 有 200 多 行 ， 建 议 进行 阅读 ， 有 助 于 理解 如 何 利用 
Linux 系 统 上 的 iproute 等 工具 实现 容器 连接 的 配置 。 





28.5.2 Flannel 


Flannel 由 CoreOS 公 司 推出 ， 现 在 主要 面 同 Kubernetes， 为 其 提供 底 
层 的 网 络 虚 拟 化 方案 ， 代 码 托管 在 https://github.com/coreos/flannel。 


_Flannel 的 设计 古典 型 的 采用 窗 盖 网 络 的 思路 ， 在 每 个 主机 上 添加 一 
个 隧道 端点 ， 所 有 跨 主机 的 流量 会 经 过 隧道 端点 进行 隧道 封包 (典型 为 
VXLAN 协 议 ， Docker Swarm 也 文 持 ) ， 直 接 发 送 到 对 端 ， 如 图 28-11 所 
示 。 
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图 28-11 Flannel 网 络 示意 图 


跟 传统 的 基于 窗 盖 网 络 的 网 络 虚拟 化 方 条 类 似 ， 这 种 设计 的 优势 在 
于 有 很 好 的 扩展 性 ， 只 要 IP 连 通 的 主机 即 可 构成 同一 个 虚拟 网 络 ， 甚 至 
跨 数据 中 心 。 问 题 也 很 明显 ， 一 个 是 隧道 协议 目前 还 比较 难 退 踪 ， 力 一 
个 是 解 包 和 封包 处 理 负载 重 ， 如 果 没 有 硬件 offload 则 往往 性 能 会 有 损 
耗 。 还 有 残 是 当中 间 路 径 存 在 负载 均衡 设备 时 ， 要 避免 均衡 出 现 失效 。 





28.5.3 Weave Net 
Weave Net 由 Weave 公 司 开 发 的 面 同 容 器 的 网 络 虚拟 化 方案 ， 项 目 
托管 在 https:/github.com/weaveworks/weave。 


解决 容器 网 络 路 主机 问题 的 思路 主要 是 打通 路 主机 容器 之 间 的 通 
各， 主要 手段 无 非 是 用 履 兰 网 络 建立 障 着 或 者 是 通过 更 改 包头 进行 转 








Rb mF 


Weave ”Net 的 设计 比较 有 意思 ， 在 每 个 主机 上 添加 一 个 路 由 右 ， 在 
A had ed Lia ir ag 如 果 该 数据 包 是 要 发 送 
到 其 他 主机 上 的 ， 则 通过 UDP 进行 转发 ， 到 目的 主机 所 在 的 路 由 器 上 ， 
目的 路 由 器 执行 相反 的 过 程 利用 pcap 解 析 网 包 再 发 送 给 网 桥 。 整 个 过 程 
是 模拟 了 一 个 隧道 方式 。 参 见 图 28-12。 





Weave network 





图 28-12 “Weave 网 络 示 意图 


这 样 设计 的 好 处 是 可 以 进行 细 粒 度 的 管理 ， 整 个 转发 过 程 很 容易 退 
踪 ; 潜在 的 问题 是 对 管理 平面 “特别 是 路 由 器 的 自动 收敛 和 学 习 〉 要求 
比较 复杂 ， 并 且 执 行 pcap 过 程 会 比较 消耗 计算 资源 。 实 际 部 署 中 要 考虑 
结合 软件 定义 网 络 和 硬件 处 理 等 手段 来 缓解 这 两 个 问题 。 


28.5.4 Calico 





Calico 项 目 官方 网 站 在 https:/www.projectcalico.org/。 


Calico 的 设计 则 更 为 直接 ， 干 及 不 支持 网 络 虚拟 化 ， 直 接 采 用 传统 
的 路 由 转发 机 制 ， 也 是 在 每 个 节点 上 配置 一 个 vRouter， 人 负责 处 理 跨 主 
机 的 流量 。vRouter 之 间 通 过 BGP 目 动 学 习 转 发 策略 。 
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图 28-13 ”Calico 网 络 示 意图 
由 于 Calico 不 采用 隧道 方式 ， 而 是 依赖 于 传统 的 JP 转发， 这 束 限 制 


了 它 的 应 用 场景 ， 无 法 跨 数据 中 心 ， 无 法 保障 中 间 路 径 安全 。 但 带 来 了 
容易 管理 、 转 发 性 能 会 好 的 一 些 优势 。 


Calico 目 前 支持 VM、Docker、Kubernetes、Openstack 等 多 个 项 目的 
容器 网 络 功能 。 


28.6 “日 志 处 理 
28.6.1 Docker-Fluentd 

Docker-Fluented 代 码 托管 在 https:/github.comy/kiyoto/docker-fluentd - 
Docker-Fluentd 以 容 右 运行 ， 可 以 收集 其 他 容器 的 运行 日 志 ， 重 定 问 到 
文件 或 者 第 三 方 的 分 析 引 擎 中 。 

使 用 方法 很 简单 ， 直 接 局 动 一 个 本 地 采集 容器 即 可 ， 如 下 所 示 : 








$ docker run -d -v /var/lib/docker/containers:/var/lib/docker/containers kiyoto 
/docker-fluentd 





如 果 要 重 定 癌 到 其 他 分 析 引 擎 ， 比 如 Elasticsearch， 可 以 更 改 
Dockerfile， 加 入 如 下 内 容 : 





RUN ["apt-get", "update"] 


RUN ["apt-get", "install", "--yes", "make", "libcurl4-gnutls-dev"] 
RUN ["/usr/local/bin/gem", "install", "fluent-plugin-elasticsearch", 
"--no-rdoc", "--no-ri"] 





同时 修改 fluent.conf 如 下 所 示 : 





<source> 
type tail 
path /var/lib/docker/containers/*/*-json.log 
pos_file /var/log/fluentd-docker.pos 
time_format %Y-%m-%dT%H : %M : %S 
tag docker.* 
format json 
</source> 
<match docker.var.lib.docker.containers.*.*.log> 
type record_reformer 
container_id ${tag_parts[5]} 
tag docker.all 
</match> 
<match docker.all> 
type elasticsearch 
log_level info 
host YOUR_ES_HOST 
port YOUR_ES_PORT 
include_tag_key true 
logstash_format true 
flush_intercal 5s 
</match> 





最 后 重新 创建 镜像 即 可 。 
28.6.2 Logspout 


Logspout 由 gliderlabs 推 出 ， 基 于 Golang 实 现 ， 人 代码 托管 
在 https:/github.com/gliderlabs/logspout。 


与 Fluentd 类 似 ，Logspout 也 是 提供 一 个 本 地 的 agent， 采 集 主 机 上 所 
有 容器 的 标准 输出 ， 然 后 发 送 到 采集 端 。 


Logspout 文 持 对 所 采集 的 容 堪 进行 策 选 ， 并 且 文 持 Syslog、Kafka、 
Redis、Logstash 等 多 种 采集 后 端 。 


典型 的 应 用 是 发 送 到 远 端 的 Syslog 服 务 器 ， 执 行 命令 也 十 分 简单 。 
需要 注意 如 果 用 容器 方式 启动 ， 则 把 本 地 的 docker.sock 人 句柄 映射 到 容器 
内 : 








$ docker run --name="logspout" \ 
--volume=/var/run/docker.sock:/var/run/docker.sock \ 
gliderlabs/logspout \ 
syslogt+tls://your_syslog_server :5000 


LS 


Vy 
VERS 


”Logspout 目 前 功能 还 在 完善 中 ， 存 在 较 大 的 一 个 问题 是 当 与 远 端 的 
采集 后 端 连 接 中 断后 ， 还 不 文 持 主 动 重 连 ， 需 要 手动 重 局 agent 容 嵩 。 








28.6.3 Sematext-agent-docker 


Sematext Docker Agent 代 码 托管 在 
https://github.com/sematext/sematext-agent-docker， 通 过 Docker API 为 
SPM Docker Monitor 收 集 Metrics， 事 件 和 日 志 信 息 ， 它 支持 多 种 平台 ， 
CoreOS、Rancher OS, Docker Swarm、Kubernetes 等 。 同 时 提供 丰富 的 
前 端 显 示 ， 如 图 28-14 所 示 。 
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图 28-14 ”Sematext-agent-docker 提 供 丰 富 的 前 端 显示 





28.7 ”服务 代理 工具 


服务 代理 (又 叫 反 同 代 理 ) 是 指 以 代理 服务 器 来 接受 intemet 上 的 连 
接 请 求 ， 然 后 将 请 求 转发 给 内 部 网 络 上 的 服务 器 ， 并 将 从 服务 器 上 得 到 
的 结果 返回 给 internet 上 请 求 连接 的 客户 端 ， 此 时 代理 服务 器 对 外 束 表 现 
为 一 个 服务 器 。 服 务 代 理 服务 器 也 可 以 作为 负载 均衡 器 ， 隐 藏 后 端 真正 
服务 器 的 细节 ， 提 高 统一 访问 接口 地 址 。 参 见 图 28-15。 
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图 28-15 ”服务 代理 工具 的 功能 
下 面 介 绍 支持 Docker 环 境 的 一 些 服务 代理 开源 项 目 。 


28.7.1 Traefik 


Traefik 项 目 官 方 网 址 为 https://traefik.io/。 代 码 网 址 
为 https://github.com/containous/traefik。 


Traefix 是 一 个 可 以 用 来 简化 微服 务 部 普 的 HITP 代 理 服务 右 和 负载 
均衡 服务 器 ， 文 持 多 种 后 端 服务 ， 包 括 Docker、Swarm、 
Mesos/Marathon, Kubernetes. Consul, Etcd. Zookeeper. BoltDB. Rest 
API, file“. 


传统 的 代理 服务 器 不 适应 于 动态 环境 ， 配 置 的 动态 改变 一 般 难 以 实 
现 ， 而 微服 务 架 构 恰 恰 是 动态 的 ， 服 务 的 添加 、 去 除 和 升级 经 名 发 生 。 
Traefix 可 以 监听 服务 注册 /编排 的 API， 当 服务 状态 发 生 改 变 时 ， 可 动态 
更 新 反 向 代理 服务 器 的 配置 。 功 能 逻辑 图 参见 图 28-16。 
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图 28-16 ”Traefik 服 务 代 理 流 程 
还 提供 可 视 化 的 WebUI 进 行 配置 和 状态 监测 ， 如 图 28-17 所 示 。 

















图 28-17 ”Traefik 的 可 视 化 管理 界面 
运行 方式 包括 二 进 制 模 式 和 容器 模式 。 
二 进 制 模 式 运行 时 需 下 载 binary 和 配置 文件 


(https://github.com/containous/traefik/releases 和 


https://raw.githubusercontent.com/containous/traefik/master/traefik.sample.to! 
然后 直接 运行 : 





$ ./traefik -c traefik.toml 





容器 模式 的 命令 如 下 : 





$ docker run -d -p 8080:8080 -p 80:80 -v $PWD/traefik.toml:/etc/traefik 
/traefik.toml traefik 





28.7.2 Muguet 


Muguet 代 码 网 址 为 : https://github.com/mattallty/muguet。 
Muguet 除 了 提供 服务 代理 功能 外 ， 还 提供 DNS 解析 功能 ， 这 样 应 用 


可 以 使 用 域名 来 访问 容器 ， 而 不 需要 再 使 用 静态 端口 和 卫 。 功 能 逻辑 图 
如 下 图 28-18 所 示 。 






HTTP Request Docker 
to site! docker 







Container site! 






HTTP Request 
to site2.docker 


Container dbl 






MySQL Connection] 7 l 
to dbl docker 






direct TCP commection 


图 28-18 Muguetidi 47 S m (CEE fe I 
Muguet 的 安装 和 使 用 都 比较 简单 : 








Muguet 提 供 WebUI， 默 认 域 名 http://muguet.docker， 如 图 28-19 所 


A 
28.7.3 nginx-proxy 


nginx-proxy 代 码 网 址 为 https://github.com/jwilder/nginx-proxy。 


nignx-proxy 以 容器 方式 运行 Nginx 和 docker-gen， 其 中 docker-gen 负 
贡 产 生 代 理 配 置 文件 并 在 容器 启动 时 进行 加 载 。 使 用 方法 如 下 。 


Demaln sat to dacker 
Proxy server listening on ports 80, 5850, 32778 
ONS server listening on port 53 


Proxled domains 
http://druid.docker:80 
http://druid.dockar:32778 


http://bidder. docker:80 


htip://anc.docker:80 

httpy//ogs. docker80 
http /elastic alk cocker: 8) 
httou/kbana alk docker:8) 


DNS entries 
muguet.docker =» 10.264.254,254 
druid. docker — 10.254.254.254 
07083259550 1.docker — 10.254.254.254 
bidder,docker 一 10,254,254.254 
f34b69abd585.docker 一 10.254.254.254 
ame.docker 一 10,254 254,254 
ef5a782d22bb dockar — 10.254.254 954 
gge.docker — 10,254,254.254 
f$be205571H docker — 10,264,254,254 
ek.docker — 110.254.254.254 
0887c61 e8a76.docker — 10.254.254.254 
elastic.elk.dockar 一 10.254.254.254 
elastic,0887d81e0a76.docker 一 10.254,254,254 
kibana.elk docker + 10.254.254 254 
kibana.0887d5190a76.cocker ~ 10.254.254.254 
aerospke.deckar — 172.17.0.2 
b24f57605357 docker 一 172.17.0.2 





图 28-19 Muguet 的 Web 管 理 界 面 


运行 nignx-proxy: 





$ docker run -d -p 80:80 -v /var/run/docker.sock:/tmp/docker.sock:ro jwilder 
/nginx- proxy 





运行 需要 proxy 的 容器 : 





$ docker run -d -e VIRTUAL_HOST=demo.tenxcloud.net --expose 8080 index. 
tenxcloud.com/tenxcloud/tomcat 





注意 ， 需 要 设置 VIRTUAL_HOST 环 境 变 量 修改 DNS， 使 其 值 指向 
niginx-proxy 所 在 机 器 IP， 同 时 需要 使 用 一 expose 骏 露 容器 服务 端口 。 访 
问 http:/demo.tenxcloud.com 即 可 ， 参 见 图 28-20。 
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Apache Tomcat/8.0.11 Th Apache Software Foundation 


http://www.apache.org/ 
If you're seeing this, you've successfully installed Tomcat. Congratulations! 


™ — Recommended Reading: Server Status 


Security Considerations HOW-TO 
Manager App 
Manager Application HOW-TO a 


Clustering/Sesson Replication HOW-TO Ustam | 


Developer Quick Start 


Tomcat Setup Realms & AAA Serviet Specifications 
First Web JDBC DataSources Tomcat Versions 


Managing Tomcat Documentation Getting Help 
For security, access to the manager webapp is | Tomcat 8.0 Documentation FAQ and Mailing Lists 
restricted, Users are defined in; ; A ; 
Tomcat 8.0 Configuration The following mailing lists are available: 
Ta E | Tomcat Wiki 


图 28-20 Nginx 的 管理 界面 





28.8 ”标准 与 规范 


随 着 Docker 珊 来 的 容器 拉 术 的 爆 太 ， 社 区 在 不 断 增 强 容器 技术 易 用 
性 的 同时 ， 也 在 思考 如 何 更 长 远 地 发 展 容 器 技术 ， 如 兼容 不 同 的 容器 标 
准 ， 适 应 更 多 类 型 的 操作 系统 平台 以 及 设计 应 用 等 。 目 前 沿 着 这 个 方 癌 
努力 ， 已 经 有 了 一 些 组 织 ( 如 开放 容器 倡议 OCI) 在 倡导 成 立 一 些 推荐 
大 家 都 遵守 的 容器 标准 和 规范 ， 同 时 也 总 结 了 一 些 面向 云 应 用 的 设计 实 
RAK. 








1.runC 标 准 

runC 标 准 最 早 由 Docker 公 司 在 2014 年 2 月 左右 推出 ， 项 目地 址 
为 https://github.com/opencontainers/runc， 它 的 目标 是 打造 一 套 轻 量 级 
的 、 标 准 化 的 容 右 运行 环境 。 

通过 它 ， 容 器 可 以 在 多 种 平台 上 得 到 统一 的 运行 时 环境 以 及 更 好 的 
资源 隔离 。 目 前 ，runC 已 经 页 献 给 了 开放 容器 倡议 ， 得 到 了 包括 
Docker、Google、IBM 在 内 的 众多 厂家 的 文 持 。 

目前 ，Docker 1.11+ 版 本 中 己 经 默认 集成 了 runC 机 制 的 支持 。 

2.appC 标 准 


appC 来 自 于 男 外 一 家 容器 领域 的 积极 页 献 者 CoreOS 公 司 ， 最 早 在 
2014 年 11 月 左右 提出 ， 项 目地 址 为 https://github.com/appc。 


除了 对 运行 时 环境 进行 了 一 些 定 义 ，appC 还 对 容器 如 何 进行 打包 、 
如 何 保持 对 环境 的 配置 〈 挂 载 点 、 环 境 变量 ) 、 如 何 验 证 镜像 、 如 何 传 
输 镜 像 等 党 试 进行 规定 。 

遵循 appC 标 准 ，CoreOS 公 司 实现 了 rkt 容 髓 机 制 。 


目前 ，appC 也 已 经 贡献 给 了 开放 容 需 倡议 组 织 ， 答 试 推出 更 开放 规 
范 的 标准 。 


3.Nulecule 





Nulecule 来 自 于 ReDHat 公 司 的 贡献 ， 最 早 在 2015 年 3 月 左右 开源 ， 
项 目地 址 为 https://github.com/projectatomic/nulecule/。Nulecule 面 同 的 应 
用 场景 是 描述 由 多 个 容器 组 成 的 复合 应 用 栈 。 


上 日前， 支持 多 容器 应 用 的 平台 。 如 Docker Swarm 采用 了 Docker 
Compose 模 板 文件 ， 而 Kubernetes 则 采用 了 自 定 义 的 描述 文件 ， 它 们 彼 
此 之 间 无 法 通用 ， 那 么 Nulecule 则 都 文 持 ， 它 定义 一 套 标 准 的 、 通 用 
的 、 可 移植 的 格式 ， 定 义 了 多 容器 应 用 的 部 署 规 范 ， 包 括 应 用 的 元 数 
据 、 依 赖 、 参 数 配 置 等 。 


为 了 支持 Nulecule，RedHat 公 司 还 推出 了 Atomic 项 目 ， 提 供 快速 使 
用 支持 。 


AFT BLAS ai it ZA 


为 了 推动 容器 标准 化 ，2015 年 6 月 22 日 ，AWS、EMC、IBM、 合 
歌 、Docker、CoreOS、redhat 等 数 十 家 公司 共同 罕 涉 成 立 了 开放 容器 倡 
议 组 织 (Open Container Initiative, OCI) ， 虽 在 建立 一 套 通 用 的 容器 规 
范 OCF。 该 组 织 现 在 受到 Linux 基 金 会 的 支持 ， 其 官方 网 站 
为 https:/www.opencontainers.org。 


目前 ，OCI 正 在 推动 所 提出 的 开放 容器 规范 (Open Container 
Format, OCF) ， 融 合 了 来 自 rtnC、appC 等 多 家 容器 规范 ， 试 图 打造 一 
套 移植 性 好 、 开 放 统 一 的 容器 标准 。 目 前 已 经 有 了 对 容器 运行 时 、 镜 像 
格式 等 方面 的 规范 草案 。 


OCF 对 标准 容器 运行 时 规范 制定 了 5 条 原则 : 


.标准 化 操作 (standard operations) : 创建 、 删 除 、 打 包容 器 等 操作 
都 必须 标准 化 ; 


-内容 无 关 性 〈contentagnostic) : 操作 应 该 跟 内 容 无 天， 保持 行为 


平台 无 关 性 (infrastructureagnostic) : 在 任何 支持 OCI 的 平台 上 ， 
操作 都 必须 能 同等 执行 ; 


:设计 考虑 自动 化 (designed for automation) : 标准 容器 是 为 自动 化 























而 生 ， 其 规范 必须 考虑 自动 化 条 件 ; 


.企业 级 交付 (industrialgrade delivery) : 标准 容器 需要 适用 于 企业 
级 流水 线 的 交付 任务 。 


5. IV A122 R 


在 云 计算 时 代 ， 应 用 的 整个 生命 周期 将 在 数据 中 心里 渡 过 ， 这 跟 传 
统 软 件 模 式 极 大 不 同 。 


云 应 用 实际 上 意味 着 : 代码 + 配 置 + 运 行 时 环境 。 

什么 样 的 软件 才 是 可 用 性 和 可 维护 性 好 的 软件 ? 

什么 样 的 代码 才能 避免 后 续 开 发 的 上 手 障碍 ? 

什么 样 的 实施 才能 可 靠 地 运行 在 分 布 式 的 环境 中 ? 

Heroku (PaaS 服 务 提供 商 ，2010 年 被 Salesforce 收 购 ) 平台 创始 人 
Adam Winggins 提 出 了 云 应 用 12 要 素 (12factor) ， 对 开发 者 设计 和 实现 
云 时 代 【( 特 别 是 PaaS 和 SaaS 上 ) 高 效 的 应 用 都 有 很 好 的 参考 意义 。 


代码 仓库 














(1) Codebase 





One codebase tracked in revision control, many deploys. 


每 个 子 系统 都 用 独立 代码 库 管 理 ， 使 用 版 本 管理 ， 实 现 独 立 的 部 
车 。 即 将 系统 拆 分 为 多 个 分 布 式 应 用 ， 每 个 应 用 使 用 目 己 的 代码 库 进 行 
管理 。 多 个 应 用 之 间 共 享 的 代码 用 依赖 库 的 形式 提供 。 


依赖 





(2) Dependencies 





Explicitly declare and isolate dependencies. 


显 式 声明 依赖 ， 通 过 环境 来 严格 隔离 不 同 依赖 。 所 依赖 的 与 所 声明 
的 要 保持 一 致 ， 并 且 声 明 要 包括 依赖 库 的 版 本 信息 。 


配置 





(3) config 





Store config in the environment. 
在 环境 变量 中 保存 配置 信息 ， 避 免 放 在 源码 或 配置 文件 中 。 
Ja Sig IRS 








(4) Backing Services 


Treat backing services as attached resources 


后 端 服 务 〈 数 据 库 、 消 息 队 列 、 缓 存 等 ) 作为 可 挂 载 资源 来 使 用 ， 
这 样 系统 跟 外 部 依赖 尽量 松 耘 合 。 


生命 周期 管理 


(5) Build, release, run 





Strictly separate build and run stages. 


区 分 不 同 生命 周期 的 运行 环境 ， 包 括 创 建 ( 代 码 编译 为 运行 包 ) 、 
发 布 〈 多 个 运行 包 和 配置 放 一 Se 打包 是 一 次 性 的 ， 每 次 修改 都 是 
新 的 release) 、 运 行 ， 各 个 步骤 的 任务 都 很 明确 ， 要 相互 隔离 。 例 如 ， 
绝对 不 允许 在 运行 时 去 改 代码 和 配置 信息 ( 见 过 太 多 工程 师 直接 SSH 到 
生产 环境 修 bug 了 ) 。 














进程 


(6) Processes 


Execute the app as one or more Stateless Processes o 


以 一 个 或 多 个 无 状态 的 进程 来 运行 应 用 ， 即 尽量 实现 无 状态 ， 不 要 
在 进程 中 保存 数据 。 尽 量 通过 数据 库 来 共 孚 数据 。 


(7) Port binding 














端口 
Export services via port binding. 


通过 端口 绑 定 来 对 外 提供 服务 。 可 以 是 HTTP、XMPP、Redis 等 协 
议 。 多 个 应 用 之 间 通 过 URL 来 使 用 彼此 的 服务 。 


并 发 模型 


(8) Concurrency 





Scale out via the process model. 


通过 进程 控制 来 扩展 ， 即 尽量 以 多 进程 模型 进行 扩展 。 


(9) Disposability 一 一 任意 存活 





Maximize robustness with fast startup and graceful shutdown 。 


快速 局 动 〈 秒 级 啊 应 ) ， 优 雅 关 闭 〈 收 到 SIGTERM 信 号 后 结束 正 
在 处 理 请 求 ， 然 后 退出 ) ， 并 尽量 和 鲁 棒 《〈 随 时 kill， 随 时 crash 都 不 应 该 
导致 问题 ) 。 





(10) Dev/prod parity 一 一 减少 开发 与 生产 环境 的 差异 性 





Keep development, staging, and production as similar as possible. 


尽量 保持 从 开 太 、 演 练 到 生产 部 闭环 境 的 相似 性 。 这 点 很 不 容易 ， 
真正 要 求 工程 师 懂 研发 ， 还 得 民运 维 。 


(11) Logs As 





Treat logs as event streams. 


将 日 志 当 作 事 件 流 来 进行 统一 的 管理 和 维护 (使 用 Logstash 等 工 
R) 。 应 用 只 需要 将 事件 写 出 来 ， 例 如 到 标准 输出 stdout， 剩 下 的 由 有 
集 系统 处 理 。 


(12) Admin processes 管理 








Run admin/management tasks as one-off processes 。 


将 管理 〈 迁 移 数 据 库 、 碍 看 状态 等 ) 作为 一 次 性 的 系统 服务 来 使 
用 。 管 理 代码 跟 业 务 代 码 要 放 在 一 起 进行 代码 管理 。 





28.9 ”其 他 项 目 
28.9.1 CoreOS 


项 目 官方 网 站 为 https://coreos.com/， 代 码 在 https://github.com/coreos 
维护 fe} 


= 


CoreOS 项 目 基 于 Python 语言 ， 遵 循 Apache 2.0 许 可 ， 由 CoreOS 团 队 
在 2013 年 7 月 发 起 ， 目 前 已 经 正式 发 布 首 个 稳定 版 本 。 


CoreOS 项 目 目 标 是 提供 一 个 基于 Rocket 容 器 的 轻 量 级 容器 化 Linux 
发 行 版 ， 通 过 轻 量 的 系统 架构 和 灵活 的 应 用 部 署 能 力 来 简化 数据 中 心 的 
维护 成 本 和 复杂 度 。 


CoreOS 基 于 一 套 精 简 的 Linux 环 境 ， 不 使 用 包 管 理工 具 ， 而 将 所 有 
应 用 都 进行 容器 化 ， 彼 此 隔离 ， 从 而 提高 了 系统 的 安全 性 。 此 外 ， 运 行 
期 间 ， 系 统 分 区 是 只 读 状 态 ， 利 用 主 从 分 区 文 持 更 稳定 的 无 颖 升级 。 配 
合 Etcd《〈 分 布 式 高 可 用 的 键 值 数 据 库 ) 、Fleet《〈 分 布 式 init 任 务 管理 ) 、 
Flannel (Overlay 网 络 管理 ) 等 工具 ，CoreOS 也 将 适用 于 在 大 规模 集群 
环境 中 进行 使 用 。 参 见 图 28-21。 








docker 
containers 


CoreOS Host 





图 28-21 “CoreOS 项目 
该 项 目 目前 得 到 了 KPCB 等 多 家 基金 的 投资 。 


28.9.2 ”OpenStack 文 持 





OpenStack 是 近 些 年 Linux 基 金 会 发 起 的 ， 最 受 欢 迎 的 云 开源 项 目 。 
项 目的 官方 网 站 在 http:/www.openstack.org。 项 目 遵循 Apache 许 可 ， 受 
到 包括 IBM、Cisco、AT&T、HP、Rackspace 等 众多 企业 的 大 力 支 持 。 


项 目的 目标 是 搭建 一 套 开源 的 架构 即 服 务 (Infrastructure as a 
Service, IaaS) 实现 方案 ， 主 要 基于 Python 语言 实现 。 该 项 目 旷 化 出 来 
的 众多 子 项 目 已 经 在 业界 产生 了 诸多 影响 。 


OpenStack 目 前 除了 可 e o 其 计算 服务 (Nova) 已 
经 文 持 了 对 Docker 的 驱动 ， 此 外 ， 还 支持 通过 Stack 管 理 引 擎 Heat 子 项 目 
来 使 用 模板 管理 Docker 容 器 。 


例如 ， 下 面 的 Heat 模 板 ， 定 义 了 使 用 Docker 容 器 运行 一 个 cirros 镜 
像 : 





heat_template_version: 2013-05-23 
description: Single compute instance running cirros in a Docker container. 
es: 


properties: 

key_name: ewindisc h _key 

image: ubuntu-precise 

sap mi.large 

ser. a hie nclude https://get.docker.io 
my_docker_contai 
type: Docker Tne: :Docker: :Contai ner 
docker _endpoint: { get_attr: [my_instance, first_address] } 
image: cirros 





此 外 ，OpenStack 自 身 的 部 署 也 可 以 基于 Docker 技 术 ， 从 而 得 到 极 
大 的 简化 ， 甚 至 更 进一步 地 ， 可 以 通过 Kubernetes 等 容器 云 方案 快速 启 
动 一 套 OpenStack 环 境 。 





28.9.3 dockerize 


一 般 来 说 ， 肥 将 一 个 应 用 放 到 容器 里 ， 需要 考虑 两 方面 的 因素 ， 
是 应 用 依赖 的 配置 信息 ; 二 是 应 用 运行 时 候 的 输出 日 志 信息 。dockerize 
是 一 个 Go 程序 ， 试 图 简化 这 两 方面 的 管理 成 本 ， 目 前 代码 











在 https://github.com/jwilder/dockerize 维 护 。 


它 主要 可 以 提供 两 个 功能 ， 一 古 对 于 依赖 于 配置 文件 的 应 H, feH 
动 提 取 环 境 变 量 并 生成 配置 文件 ， 另 外 一 个 是 将 应 用 输出 的 日 志 信 息 重 
定向 到 STDOUT 和 STDERR。 


下 面 给 出 一 个 简单 的 例子 ， 比 如 要 创建 一 个 Nginx 镜 像 ， 标 准 的 
Dockerfile 内 容 为 : 











FROM ubuntu:14.04 

# Install Nginx. 

RUN echo "deb http://ppa.launchpad.net/nginx/stable/ubuntu trusty main" > 
/etc/apt/sources.list.d/nginx-stable-trusty.list 

RUN echo "deb-src http://ppa.launchpad.net/nginx/stable/ubuntu trusty main" >> 
/etc/apt/sources.list.d/nginx-stable-trusty.list 

RUN apt-key adv --keyserver keyserver.ubuntu.com --recv-keys C300EE8C 

RUN apt-get update 

RUN apt-get install -y nginx 

RUN echo "daemon off;" >> /etc/nginx/nginx.conf 

EXPOSE 80 

CMD nginx 





使 用 dockerize， 则 需要 在 最 后 的 CMD 命 令 中 利用 dockerize 进 行 封 
装 ， 利 用 模板 生成 应 用 配置 文件 ， 并 重 定 同日 志文 件 输 出 到 标准 输出 。 


首先 ， 创 建 配置 模板 文件 为 default.tmpl， 内 容 是 











server { 

listen 80 default_server; 

listen [::]:80 default_server ipv6only=on; 

root /usr/share/nginx/html; 

index index.html index.htm; 

# Make site accessible from http://localhost/ 

server_name localhost; 

location / { 
access_log off; 
proxy_pass {{ .Env.PROXY_URL }}; 
proxy_set_header X-Real-IP $remote_addr; 
proxy_set_header Host $host; 
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; 





该 模板 将 接收 来 自 环境 变量 PROXY_URL 的 值 。 
编辑 新 的 Dockerfile 内 容 为 : 





FROM ubuntu:14.04 

# Install Nginx. 

RUN echo "deb http://ppa.launchpad.net/nginx/stable/ubuntu trusty main" > 
/etc/apt/sources.list.d/nginx-stable-trusty.list 

RUN echo "deb-src http://ppa.launchpad.net/nginx/stable/ubuntu trusty main" >> 
/etc/apt/sources.list.d/nginx-stable-trusty.list 

RUN apt-key adv --keyserver keyserver.ubuntu.com --recv-keys C300EE8C 

RUN apt-get update 

RUN apt-get install -y wget nginx 

RUN echo "daemon off;" >> /etc/nginx/nginx.conf 

RUN wget https://github.com/jwilder/dockerize/releases/download/v0.0.1 
/dockerize-linux-amd64-v0.0.1.tar.gz 

RUN tar -C /usr/local/bin -xvzf dockerize-linux-amd64-v0.0.1.tar.gz 


ADD de ee lt.tmpl /etc/nginx/site ailable/default.tmpl 

EXPOSE 8 

CMD dockers ze -template /etc/nginx/sites-avai sae ey tm mpl: aos ngi 
/si -available/de rau lt -stdout /var/log/nginx/ac . log tderr N Var7165 
pare nx/ ror.log ngi 





最 后 的 CMD 命 令 中 利用 -template 参 数 指定 了 配置 模板 位 置 ， 以 及 生 
成 的 配置 文件 的 位 置 。 


创建 镜像 后 ， 通 过 如 下 的 方式 启动 一 个 容器 ， 整 个 过 程 无 需 手 动 添 
加 Nginx 的 配置 文件 ， 并 且 日 二 志 重 定向 到 了 标准 输出 。 





$ docker run -p 80:80 -e PROXY_URL="http://jasonwilder.com" --name nginx -d nginx 





28.9.4 Unikernel 


轻 量 级 的 精简 内 核 技 术 ， 项 目地 址 为 http://www.unikernel.org。 

不 同 于 传统 的 支持 多 用 户 多 应 用 的 操作 系统 内 核 ，Unikernel 技 术 的 
目的 是 为 运行 的 应 用 编译 链接 进入 所 需要 的 操作 系统 函数 ， 形 成 一 个 单 
独 的 编译 映像 ， 内 核 只 提供 单一 地 址 空间 。 无 需 其 他 无 关 的 软件 ， 这 个 
映像 束 可 以 运行 在 虚拟 机 中 。 

Unikernel 特 点 包括 : 单一 镜像 、 安 全 、 超 轻 量 级 和 快速 启动 。 


不 同 于 容器 的 共享 操作 系统 内 核 ，Unikemel 是 精简 内 核 ， 每 个 应 用 
实际 上 仍然 运行 在 各 自 的 超 轻 量 级 虚拟 机 中 。 


比较 流行 的 Unikemel 系 统 包 括 : 


‘ClickOS: NEC 提 出 的 专门 为 网 络 应 用 优化 的 系统 ， 文 持 C、 
C++ 和 Python; 


‘Clive: 面 癌 云 环境 的 精简 操作 系统 ， 基 于 Golang 实 现 ; 


.HaLVM: 早期 Unikernels 系 统 之 一 ， 基 于 Haskel 语 言 实 现 ; 











‘LING: 早期 Unikernels 系 统 之 一 ， 基 于 Erlang 语 言 实现 ; 


.MirageOS: 早期 Unikernels 系 统 之 一 ， 基 于 Ocaml 语 言 实现 ; 


.OSv: 基于 Java， 文 持 绝 大 多 数 JAR 文 件 部 署 和 运行 。 


‘Rumprun: 基于 NetBSD 项 目 ， 专 注 于 符合 POSIX 标 准 的 、 不 需要 
Fork 的 应 用 程序 ， 方 便 将 现 有 Linux 程 序 移植 到 Unikernel 上; 


‘runtime.js: 基于 Javascript  v8 引 警 的 操作 系统 ， 文 持 JavaScript 尽 





目前 ， 专 注 于 Unikernel 技 术 的 Unikernel Systems 公司 已 被 Docker 公 
司 收购 ， 作 为 对 容器 技术 未 来 方向 的 探索 和 补充。 


28.9.5 “容器 化 的 虚拟 机 


不 少 企业 应 用 仍 运 行 在 传统 的 虚拟 机 中 ， 这 些 应 用 希望 级 收容 器 高 
性 能 、 便 捷 的 优势 ， 也 不 想 放弃 虚拟 机 安全 的 特点 。 因 此 ， 出 现 了 一 些 
开源 项 目 试 图 让 虚拟 机 的 hypervisor 来 支持 容器 格式 ， 代 表 性 的 项 目 有 
Hyper。Hyper 项 目的 官方 网 站 为 https://www.hyper.sh/。 


Hyper 项 目 试图 让 容器 用 户 仍 然 像 使 用 容器 一 样 来 操作 Hyper 容 器 。 
只 不 过 Hyper 容 器 不 同 于 传统 的 容器 ， 它 种 有 精简 的 操作 系统 内 核 。 
此 ， 从 核心 上 说 它 是 一 个 轻 量 级 的 虚拟 机 镜像 ， 可 以 直接 跑 在 
hypervisor 上 ， 但 是 借鉴 了 来 自 容器 的 优秀 设计 ， 提 供 十 分 快速 的 体 


验 。 








28.10 “本章 小 结 


本 章 介 绍 了 围绕 Docker 生 态 坏 境 的 一 些 热门 技术 项 目 ， 包 括 云 平 台 
构建 、 持 续集 成 、 容 器 管理 和 编程 开发 等 方 癌 。 
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技术 的 生态 环境 和 经 济 体系 往往 更 为 关键 。 


笔者 很 欣喜 地 看 到 ，Docker 已 经 得 到 了 广泛 的 认同 和 支持 。 


基于 Docker 的 平台 即 服务 和 持续 集成 这 两 大 方面 ， 是 笔者 认为 
Docker 技 术 的 所 谓 “ 杀 手 级 应 用 ”。 这 些 项 目 充 分 结合 了 Docker 技 术 的 特 
点 ， 能 够 充分 地 发 挥 出 使 用 Docker 的 技术 优势 。 


在 具体 的 生产 环境 中 使 用 Docker， 则 无 法 绕 开 容 器 管理 和 编程 开发 
这 两 种 需求 。 特 别 是 大 规模 的 容器 管理 ， 将 是 一 个 版 有 挑战 的 难题 。 不 
断 出 现 的 各 种 方案 ， 特 别 是 有 众多 IT 巨头 支持 的 Kubernetes 将 在 一 定 程 
上 度 上 缓解 ， 但 仍 不 能 说 解决 了 这 个 挑战 。 


最 后 ， 包 括 Flannel、Weave 等 特色 项 目的 出 现 ， 以 及 OpenStack 这 类 
项 目 对 Docker 的 快速 文 持 ， 都 证 明了 在 茶 种 意义 上 容 吉 在 站 稳 脚 跟 之 
后 ， 已 经 开始 主动 引导 和 影响 技术 体系 的 变革 ， 这 室 无 疑问 将 推动 信息 
技术 产品 再 上 新 的 台阶 ! 


.附录 A 常见 问题 总 结 
.附录 B Docker 命 令 查 询 


附录 C ”参考 资源 链接 


附录 A r L e A 
A1 镜像 相关 

1. 如 何 批量 清理 临时 镜像 文件 ? 

答 : 可 以 使 用 docker rmi $(docker images -q -f dangling=true) 命 令 。 

2. 如 何 查 看 镜像 支持 的 环境 变量 ? 

答 : 可 以 使 用 docker run IMAGE env 命 令 。 

3. 本 地 的 镜像 文件 都 存放 在 哪里 ? 

Z: 与 Docker 相 关 的 本 地 资源 都 存放 在 /var/lib/docker/ 目 录 下 ， 以 
aufs 文 件 系统 为 例 ， 其 中 container 目 录 存 放 容 器 信息 ，graph 目 录 存 放 镜 
像 信息 ，aufs 目 录 下 存放 具体 的 镜像 层 文件 。 

4. 构 建 Docker 镜 像 应 该 遵循 哪些 原则 ? 


答 : 整体 原则 上 ， 尽 量 保持 镜像 功能 的 明确 和 内 容 的 精简 ， 要 点 包 
舌 : 


:尽量 选取 满足 需求 但 较 小 的 基础 系统 镜像 ， 例 如 大 部 分 时 候 可 以 
选择 debian: wheezy 或 debian: jessie 镜 像 ， 仅 有 不 足 百 兆 大 小 ; 


清理 编译 生成 文件 、 安 装 包 的 缓存 等 临时 文件 ; 
安装 各 个 软件 时 候 要 指定 准确 的 版 本 号 ， 并 避免 引入 不 需要 的 依 





“从 安全 角度 考虑 ， 应 用 要 尽量 使 用 系统 的 库 和 依赖 ; 


如果 安 装 应 用 时 候 需 要 配置 一 些 特殊 的 环境 变量 ， 在 安装 后 要 还 
原 不 需要 保持 的 变量 值 ; 


:使 用 Dockerfile 创 建 镜 像 时 候 要 添加 .dockerignore 文 件 或 使 用 干净 的 
工作 目录 。 


5. 储 到 网 络 问题 ， 无 法 pul] 镜 像 ， 命 令 行 指定 http_proxy 无 效 ， 怎 么 
Tp? 


答 : 在 Docker 配 置 文 件 中 添加 export 
http_proxy="http://<PROXY_HOST>:<PROXY_PORT>"， 之 后 重启 


Docker 服 务 即 可 。 
A.2 容器 相关 

1. 容 器 退出 后 ， 通 过 docker ps 命令 查看 不 到 ， 数 据 会 丢失 么 ? 

Z. 容器 退出 后 会 处 于 终止 〈exited) 状态 ， 此 时 可 以 通过 docker 
ps amne Bt 看 。 其 中 的 数据 也 不 会 丢失 ， 还 可 以 通过 docker start 命 令 来 
启动 它 。 只 有 删除 掉 容器 才 会 清除 所 有 数据 

2. 如 何 停止 所 有 正在 运行 的 容器 ? 

答 : 可 以 使 用 docker kill $(docker ps -q) 命 令 

3. 如 何 清理 批量 后 台 停 止 的 容器 ? 

答 : 可 以 使 用 docker rm -f $(docker ps -qa) 命 令 











4. 如 何 获 取 某 个 容器 的 PID 信 息 ? 


: 可 以 使 用 docker mpral --format '{{ .State.Pid 
}} <CONTAINERID orNAME> 命 令 。 


5. 如 何 获 取 某 个 容器 的 IP 地 址 ? 


答 : 可 以 使 用 docker inspect --format '{{ .NetworkSettings.IP Address 
}}'<CONTAINER ID orNAME> 命 令 


6. 如 何 给 容器 指定 一 个 固定 IP 地 址 ， 而 不 是 每 次 重启 容器 IP 地 址 都 
会 变 ? 
答 : 目前 Docker 并 没有 提供 直接 的 对 容器 IP 地 址 的 管理 支持 ， 用 户 


可 以 参考 本 书 第 20 章 “网 络 配置 "中 介绍 的 创建 点 对 点 连接 例子 ， 来 手动 
配置 容器 的 静态 也 。 或 者 在 启动 容器 后 ， 再 手动 进行 修改 。 还 可 参考 后 

















面 “ 其 他 ?类 的 问题 : “如 何 进 入 Docker 容 器 的 网 络 命名 空间 ? ” 
7. 如 何 临时 退出 一 个 正在 交互 的 容器 的 终端 ， 而 不 终止 它 ? 


答 : 按 Ctrl-p ”Ctrl-q。 如 果 按 Ctrl-c 往 往 会 让 容器 内 应 用 进程 终止 ， 
进而 会 终止 容器 。 


8. 使 用 docker port 命 令 上 映射 容器 的 端口 时 ， 系 统 报错 “Error: No 
public port '80' published for xxx”， 怎 么 办 ? 


Z. 创建 镜像 时 Dockerfile 要 通过 EXPOSE 命 令 指定 正确 的 开放 端 
口 ， 容 器 启动 时 指定 PublishAllPort=true。 


9. 可 以 在 一 个 容器 中 同时 运行 多 个 应 用 进程 么 ? 
答 : 一 般 并 不 推荐 在 同一 个 容器 内 运行 多 个 应 用 进程 。 如 果 有 类 似 


需求 ， 可 以 通过 一 些 额外 的 进程 管理 机 制 ， 比 如 supervisord 来 管理 所 运 
行 的 进程 。 可 以 参考 https://docs.docker.com/articles/using_supervisord/。 


10. 如 何 控制 容器 占用 系统 资源 〈CPU、 内 存 ) 的 份额 ? 


答 : 在 使 用 docker create 命 令 创 建 容器 或 使 用 docker run 创 建 并 局 动 
容器 的 时 候 ， 可 以 使 用 -cl--cpu-shares[=0] 参 数 来 调整 容器 使 用 CPU 的 权 
重 ; 使 用 -m|--memory[=MEMORY] 参 数 来 调整 容 右 使 用 内 存 的 大 小 。 


A.3 仓库 相关 


1. 仓 库 (Repository) ~ ÈRA zF (Registry) 、 注 册 索 引 
(Index) 之 间 有 何 关 系 ? 


首先 ， 仓 库 是 存放 一 组 关联 镜像 的 集合 ， 比 如 同一 个 应 用 的 不 同 版 
本 的 镜像 。 注 册 服 务 器 是 存放 实际 的 镜像 文件 的 地 方 。 注 册 索 引 人 负责 维 
护 用 户 的 账号 、 权 限 、 搜 索 、 标 俭 等 的 管理 。 因 此 ， 注 册 服 务 器 利用 注 
及 索引 来 实现 认证 等 管理 。 


2. 从 非 官 方 仓库 (例如 non-official-repo.com) 下 载 镜像 时 候 ， 有 时 
候 会 提示 “Error: Invalid registry endpoint https://non-official-repo.com/v1/ 
"s A 











答 : Docker 自 1.3.0 版 本 往 后 ， 加 强 了 对 镜像 安全 性 的 验证 ， 需 要 添 
加 私有 仓库 证 书 ， 或 者 手动 添加 对 非 官 方 仓库 的 信任 。 编 辑 Docker 配 置 
文件 ， 在 其 中 添加 : DOCKER_OPTS="--insecure-registry non-official- 
repo" 之 后 ， 重 启 Docker 服 务 即 可 。 


A.4 配置 相关 

1.Docker 的 配置 文件 放 在 哪里 ， 如 何 修改 配置 ? 

Z. 使 用 upstart 的 系统 〈 如 Ubuntu 14.04) 的 配置 文件 
在 /etc/default/docker， 使 用 systemd 的 系统 (如 Ubuntu 16.04、Centos 等 ) 
的 配置 文件 在 /etc/systemd/system/docker.service.d/docker.conf。 


Ubuntu 下 面 的 配置 文件 内 容 如 下 ， 读 者 可 以 参考 配 。《〈 如 果 出 现 该 
文件 不 存在 的 情况 ， 重 局 或 者 自己 新 建 一 个 文件 都 可 以 解决 。) 








# Customize location of Docker binary (especially for development testing). 
#DOCKERD="/usr/local/bin/dockerd" 

# Use DOCKER OPTS to modify the daemon startup options. 
#DOCKER_OPTS="--dns 8.8.8.8 --dns 8.8.4.4" 

# If you need Docker to use an HTTP proxy, it can also be specified here. 
#export http_proxy="http://127.0.0.1:3128/" 

# This is also a handy place to tweak where Docker's temporary files go. 
#export TMPDIR="/mnt/bigdrive/docker-tmp" 





2. 如 何 更 改 Docker 的 默认 存储 位 置 ? 

答 : Docker 的 默认 存储 位 置 是 /vavlib/docker， 如 果 和 希望 将 Docker 的 
本 地 文件 存储 到 其 PX, 可 以 使 用 Linux 软 连接 的 方式 来 完成 ， 或 者 
在 启动 daemon 时 通过 -g 参 数 指定 。 


例如 ， 如 下 操作 将 默认 存储 位 置 迁移 到 /storage/docker。 








[root@s26 ~]# df -h 


Filesystem Size Used Avail Use% Mounted on 
/dev/mapper/VolGroup-1lv_root 50G 5.36 4 12% / 

tmpfs 48G 228K 48G 1% /dev/shm 
/dev/sdai 485M 40M 420M 9% /boot 
/dev/mapper/VolGroup-lv_home 222G 188M 210G 1% /home 
/dev/sdb2 2.7T 323G 2.3T 13% /storage 


[root@s26 ~]# service docker stop 

[root@s26 ~]# cd /var/lib/ 

[root@s26 lib]# mv docker /storage/ 

[root@s26 lib]# 1n -s /storage/docker/ docker 

[root@s26 lib]# ls -la docker 

lrwxrwxrwx. 1 root root 15 11H17 13:43 docker -> /storage/docker 
[root@s26 lib]# service docker start 





3. 使 用 内 存 和 swap 限 制 局 动容 器 时 候 收 到 警告 : “WARNING: Your 


kernel does not support cgroup swap limit. WARNING: Your kernel does 
not support swap limit capabilities.Limitation discarded.”, %4 7}? 


答 : 这 是 因为 系统 默认 没有 开启 对 内 存 和 swap 使 用 的 统计 功能 ， 引 
入 该 功能 会 带 来 性 能 的 下 降 。 要 开局 该 功能 ， 可 以 采取 如 下 操作 : 


1) 编辑 /etc/default/grub 文 件 《Ubuntu 系统 为 例 ) ， 配 置 
GRUB_CMDLINE_LINUX="cgroup_enable=memory swapaccount=1"; 





2) 更 新 grub: $sudo update-grub; 
3) 重启 系统 即 可 。 
A.5 Docker 与 虚拟 化 
1.Docker 与 LXC (Linux Container) 有 何不 同 ? 


Z: LXC 利 用 Linux 上 相关 技术 实现 了 容器 。Docker 则 在 如 下 的 几 
个 方面 进行 了 改进 : 


移植 性 : 通过 抽象 容 右 配置 ， 容 器 可 以 实现 从 一 个 平台 移植 到 男 


= 


-镜像 系统 : 基于 AUFS 的 镜像 系统 为 容器 的 分 发 带 来 了 很 多 的 便 
利 ， 同 时 共同 的 镜像 层 只 需要 存储 一 份 ， 实 现 高 效率 的 存储 ; 


版 本 管理 ， 类 似 于 Git 的 版 本 管理 理念 ， 用 户 可 以 更 方便 地 创建 、 
管理 镜像 文件 ; 


仓库 系统 : 仓库 系统 大 大 降低 了 镜像 的 分 发 和 管理 的 成 本 ; 

:周边 工具 : 各 种 现 有 工具 (配置 管理 、 云 平台 〉 对 Docker 的 文 
持 ， 以 及 基于 Docker 的 PaaSs、CI 等 系统 ， 让 Docker 的 应 用 更 加 方便 和 多 
样 化 。 

2.Docker 与 Vagrant 有 何不 同 ? 


答 : 两 者 的 定位 完全 不 同 。 











Vagrant 类 似 Boot2Docker《〈 一 天 运行 Docker 的 最 小 内 核 ) ， 是 一 套 
虚拟 机 的 管理 环境 。Vagrant 可 以 在 多 种 系统 上 和 虚拟 机 软件 中 运行 ， 
可 以 在 Windows、Mac 等 非 Linux 平 台 上 为 Docker 提 供 支 持 ， 自 身上 共有 较 
好 的 包装 性 和 移植 性 。 


原生 的 Docker 只 能 运行 在 Linux 平 台 上 ， 但 启动 和 运行 的 性 能 都 比 
虚拟 机 要 快 ， 往 往 更 适合 快速 开发 和 部 署 应 用 的 场景 。 


简单 说 : Vagrant 适 合用 来 管理 虚拟 机 ， 而 Docker 适 合用 来 管理 应 用 





环境 
3. 开 发 环境 中 Docker 和 Vagrant 该 如 何 选择 ? 
Z: Docker 不 是 虚拟 机 ， 而 是 进程 隔离 ， 对 于 资源 的 消耗 很 少 ， 但 
是 目前 需要 Linux 环 境 支 持 。Vagrant 是 虚拟 机 上 做 的 封闭， 虚拟 机 本 身 
如 果 本 地 使 用 的 是 Linux 环 境 ， 推 荐 都 使 用 Docker。 
如 果 本 地 使 用 的 是 OSX 或 者 Windows 环 境 ， 那 就 需要 开 虚 拟 机 ， 单 
一 开发 环境 下 Vagrant 更 简单 ;多 环境 开发 下 推荐 在 Vagrant 里 面 再 使 用 
Docker 进 行 环 境 隅 离 。 
A.6 其 他 


1.Docker 能 在 非 Linux 平 台 〈 比 如 Windows 或 MacOS) 上 运行 么 ? 





答 : 可 以 。 目 前 需要 使 用 docker for mac、boot2docker 等 软件 创建 一 
个 轻 量 级 的 Linux 虚 拟 机 层 。 


2. 如 何 将 一 台 宿 主 主 机 的 docker 环 境 迁 移 到 另外 一 台 宿 主 主机 ? 


答 : 停止 Docker 服 务 。 将 整个 Docker 存 储 文件 夹 复 制 到 另外 一 台 宿 
主 主机 ， 然 后 调整 男 外 一 台 和 宿主 主 机 的 配置 即 可 。 


3. 如 何 进入 Docker 容 需 的 网 络 命名 空间 ? 


Z: Docker 在 创建 容器 后 ， 删 除了 和 宿主 主机 上 varrunmetns 目 录 中 
的 相关 网 络 命名 空间 文件 。 因 此 ， 在 答 主 主机 上 是 无 法 看 到 或 访问 容器 








的 网 络 命名 空间 的 。 用 户 可 以 通过 如 下 方法 来 手动 恢复 它 : 
1) 使 用 下 面 的 命令 碍 看 容 髓 进程 信息 ， 比 如 这 里 的 1234: 





$ docker inspect --format='{{. State.Pid}} ' $container_id 
1234 





2) 在 /proc 目 录 下 ， 把 对 应 的 网 络 命名 空间 文件 链接 到 /var/run/netns 
目录 。 





$ sudo ln -s /proc/1234/ns/net /var/run/netns/ 





3) 在 宿主 主机 上 就 可 以 看 到 容 圳 的 网 络 命名 空间 信息 。 例 如 : 





$ sudo ip netns show 
1234 





此 时 ， 用 户 可 以 通过 正常 的 系统 命令 来 查看 或 操作 容器 的 命名 空间 
了 。 例 如 修改 容器 的 IP 地 址 信息 为 172.17.0.100/16: 





$ sudo ip netns exec 1234 ifconfig ethO 172.17.0.100/16 





附录 B Docker 命 令 查 询 
B.1 基本 语法 


Docker 命 令 有 两 大 类 ， 客 户 端 命令 和 服务 端 命 令 。 前 者 是 主要 的 操 
作 接 口 ， 后 者 用 来 启动 Docker daemon。 








客户 端 命 令 基本 格式 为 : docker [OPTIONS] COMMAND [arg...] 





.服务 端 命令 基本 格式 为 : docker daemon [OPTIONS]. 
可 以 通过 man docker 或 docker help 来 查看 这 些 命令 。 
B.2 客户 并 命令 选项 


选 项 说 朋 
--config="" ES MACE CTE, BY /. docker 
-D=true| false 是 否 使 用 debug ak, SUA 
fie a4 Mt hii Docker daemon 的 监听 接口 ， 可 以 为 unix 套 接 
“H, --host=[] F ( unix:/lipath/to/socket), CFE) AA (fd://socketfd) 或 tep Eik F 


(tep:/{host{:port}]), WAA unix://var/run/docker sock 


-lp --log-level= "debuglinfol} ) 
je H 


warn|error|fatal" 
--t]s=true|false 是 否 对 Docker daemon 月 用 TLS ZEALA, SUAT 
--tlscacert= /.docker/ca.pem TLS CA 答 名 的 可 信 证 书 文件 路 径 

--tlscert= /,docker/cert,pem | TLS 可 售 证 书 文件 路 色 

--tlscert= /,docker/key.pem TLS 密 钥 文件 路 径 

--tlsverify=true|false AA TLS RE, KUAT 





B.3 ”daemon 命令 选项 


az 项 


--api-cors-header="" 


--authorization-plugin="" 


-þann 


--bip=" " 


--cgroup-parent="" 


--cluster-store="" 
--cluster-advertise="" 
--cluster-store-opt="" 
--config-file="/etc/docker/ 
daemon.json" 
--containerd="" 
-D, --debug=true| false 
--default-gateway="" 
--default-gateway-v6é="" 
--default-ulimit=[] 
--disable-legacy-registry=true | 
false 
--dns="" 
--dns-opt="" 
--dns-search=[] 
--exec-opt=[] 
--exec-root="" 
--fixed-cidr="" 
--fixed-cidr-v6é="" 
-G, --group="" 


wee 


“9, ~-graph= 


-H, --host=[] 


--icc=true|false 
--insecure-registry=[] 
--ipe”" 


-~-ip-forward=true |false 


--ip-masq=true|false 


说 OA 

CORS 头 部 域 ， 默 认 不 允许 访问 CORS， 要 人 允许 任意 的 跨 域 访 
fal, WY LE Se" 

载 人 认证 的 插件 

将 容器 挂 载 到 一 个 已 存在 的 网 桥 上 - 指定 为 "none' 时 则 禁用 容 
器 的 网 络 ， 与 --bip 选项 互 斥 

下 动态 创建 的 docker0 网 桥 采 用 给 定 的 CIDR 地 址 ; 与 -b 选 项 
RF 

指定 cgroup 的 父 组 BRIA fs cgroup 情况 下 为 /docker, systemd 
cgroup 情况 下 为 System.slice 

构成 集群 (如 Swarm) 时 ， 集 群 键 值 数 据 库 服务 地 址 

构成 集群 时 ,自身 的 被 访问 地 址 ， 可 以 为 host:port 或 interface:port 

构成 集群 时 ， 键 值 数据 库 的 配置 选项 


daemon 配置 文件 路 径 


containerd 文件 的 路 径 

是 否 使 用 Debug 模式 ， 默 认为 false 

容器 的 IPv4 网 关 地 址 ， 必 须 在 网 桥 的 子 网 段 内 
容器 的 IP v6 网 关 地 址 

默认 的 ulimit (ff 


是 否 多 许 访问 旧版 本 的 镜像 仓库 服务 器 


指定 容器 使 用 的 DNS 服务 器 地 址 

DNS 选项 

DNS 搜索 域 

运行 时 的 执行 选项 

容器 执行 状态 文件 的 根 路 径 。 默认 为 /var/run/docker 

限定 分 配 IPv4 地 址 范围 

限定 分 配 IPv6 地 址 范围 

分 配给 unix 套 接 字 的 组 ， 默 认为 docker 

Docker 运行 时 的 根 路 径 ， 默 认为 warlibydocker 

指定 命令 对 应 Docker daemon 的 监听 接口 ， 可 以 为 unix 套 接 字 
( unix:///path/to/socket), X fF 4 #4 (人 fd:Wsocketfd) BK tep EEF 
(tep://[host{:port]]), BRIA unix:///var/run/docker.sock 

是 否 启 用 容器 间 以 及 跟 daemon 所 在 主机 的 通信 。 默 认为 true 

允许 访问 给 定 的 非 安全 合 库 服务 

绑 定 容器 端口 时 候 的 默认 IP 地 址 -默认 为 0.0.0.0 

是 否 检查 启动 在 Docker EPLE AAA IP RERS., AHF 
启 。 注意 关闭 该 选项 将 不 对 系统 转发 能 力 进行 任何 检查 修改 

是 否 进 行 地 址 伪装 ， 用 于 容器 访问 外 部 网 络 ， 默 认 开 局 


选 项 说 明 
--iptables=true|false 是 否 允 许 Docker 添加 iptables 规则 。 默 认为 true 
--ipv6=true|false 是 否 启 用 IPv6 ch, WAKA 


-l, --log-level="debug|info|warn| 
| 指定 日 志 输 出 级 别 


error|fatal" 
--label="{]" 添加 指定 的 键 值 对 标注 
--log-driver="json-file|syslog| 
journald|gelf|fluentd|awslogs|splunk|| 指定 日 志 后 端 驱动 ， 默 认为 json-file 
etwlogs|gcplogs|none" 


--log-opt=[] 日 志 后 端的 选项 

--mtu=VALUE 指定 容器 网 络 的 mtu 

-p="" 指定 daemon 的 PID 文件 路 径 。 默 认为 warrun/dockerpid 

--raw-logs 输出 原始 、 未 加 分 析 的 日 志 信息 

--registry-mirror=;// 指定 docker pull HY (EFAS TEMA tel AW 

-s, --storage-driver="" 指定 使 用 给 定 的 存储 后 端 

--Selinux-enabled=true|false RAHM ae Ate: RA 人 nm AAS 
F overlay 存储 驱动 

~-storage-opt=[] 驱动 后 端 选 项 

--tls=true| false 是 否 对 Docker daemon 启用 TLS KEHA, WAAT 

--tlscacert= /.docker/ca.pem TLS CA 签名 的 可 信 证 书 义 件 路 答 

--tlscert= /.docker/cert.pem TLS 可 信 证 书 文件 路 答 

--tlscert= /.docker/key.pem TLS 密 钥 文件 路 径 

--tlsverify=true| false 启用 TLS Bele, BRIAN 

EE ENE tah an ER 默认 

y true 


--userns-remap=default|uid:gid|u] 指定 容器 的 用 户 命名 空间 ， 默 认 是 创建 新 的 UID 和 GID 映射 
ser:group|user|uid $75 th AER 


B.4 客户 端 命 令 


可 以 通过 man docker-COMMAND 或 docker help COMMAND 来 查看 
这 些 命令 的 具体 用 法 。 


e $ 说 明 
attach 依附 到 一 个 正在 运行 的 容器 中 

build 从 一 个 Dockerfile 创建 一 个 镜像 

commit 从 一 个 容器 的 修改 中 创建 一 个 新 的 镜像 
cp ERRAU ERA SE 
create 创建 一 个 新 容 希 ， 但 并 不 运行 上 


diff 检查 一 个 容器 内 文件 系统 的 变更 ， 包 括 修改 和 增加 


命 令 
events 
exec 
export 
history 
images 
import 
info 
inspect 
kill 
load 
login 
logout 
logs 
Network 
node 
pause 
port 
ps 

pull 
push 
rename 
restart 


rm 


save 
search 
service 
start 
stats 
stop 
swarm 
tag 

top 
unpause 
update 
version 
volume 


wait 


从 服务 端 获取 实时 的 事件 

在 运行 的 容器 内 执行 命令 

导出 容器 内 容 为 一 个 tar 包 

显示 一 个 镜像 的 历史 信息 

列 出 存在 的 镜像 

导 人 一 个 文件 (典型 为 tar 包 ) 路 径 或 目录 来 创建 一 个 本 地 镜像 
显示 一 些 相关 的 系统 信息 

显示 一 个 容器 的 具体 配置 信息 

关闭 一 个 运行 中 的 容器 (包括 进程 和 所 有 相关 资源 ) 

从 一 个 tar 包 中 加 载 一 个 镜像 

注册 或 登录 到 一 个 Docker 的 仓库 服务 器 

从 Docker 的 仓库 服务 器 登 出 

获取 容器 的 Log 信息 

管理 Docker MW, MAA, OE, MWA. HER, HRI 
管理 swarm 集群 中 的 节点 ,包括 查看 、 更 新 、 删 除 .。 提升， 取消 管理 节点 等 
暂停 一 个 容器 中 的 所 有 进程 

查找 一 个 nat 到 一 个 私有 网 口 的 公共 口 

列 出 主机 上 的 容器 

从 一 个 Docker 的 仓库 服务 器 下 拉 一 个 镜像 或 仓库 

将 一 个 镜像 或 者 仓库 推送 到 一 个 Docker 的 注册 服务 器 

重 命 名 一 个 容器 

重启 一 个 运行 中 的 容器 

删除 给 定 的 若干 个 容器 

删除 给 定 的 若干 个 镜像 

创建 一 个 新 容器 ， 并 在 其 中 运行 给 定 命 令 

保存 一 个 镜像 为 tar 包 文件 

在 Docker index 中 搜索 一 个 镜像 

管理 Docker 所 局 动 的 应 用 服务 ,包括 创建 更新、 删除 等 
启动 一 个 容器 

输出 (一 个 或 多 个 ) 容器 的 资源 使 用 统计 信息 

终止 一 个 运行 中 的 容器 

管理 Docker swarm 集群 ， 包 括 创建 、 加 人 人、 退出 、 更 新 等 
为 一 个 镜像 打 标 签 

查看 一 个 容器 中 正在 运行 的 进程 信息 

将 一 个 容器 内 所 有 的 进程 从 暂停 状态 中 恢复 

更 新 指定 的 若 十 容器 的 配置 信息 

输出 Docker 的 版 本 信息 

管理 Docker volume， 包 括 查 看 、 创 建 、 删 除 等 

阻塞 直到 一 个 容器 终止 ， 然 后 输出 它 的 退出 符 


B.5 一 张 图 总 结 Docker 的 命令 
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附录 C 参考 资源 链接 

官方 网 站 
Docker JEH: https://www.docker.com 
Docker 官 方 博客 : https://blog.docker.com/ 
Docker 官 方 文档 : https://docs.docker.com/ 
Docker Hub: https:/hub.docker.com 
Docker 的 源 代码 仓库 : https://github.com/docker/docker 
Docker 发 布 版 本 历史 : https://docs.docker.com/release-notes/ 
Docker 和 常见 问题 ，https://docs.docker.com/engine/faq/ 


Docker 远 端 应 用 
API: https://docs.docker.com/reference/api/docker_remote_api/ 


实践 参考 
Dockerfile 参 考 : https://docs.docker.com/reference/builder/ 


Dockerfile 最 佳 实践 : https://docs.docker.com/engine/userguide/eng- 
image/Dockerfile_best-practices/ 


技术 交流 


Docker 邮 件 列表 : https://groups.google.com/forum/#!forum/docker- 
user 


DockerfIRC##IE: https://chat.freenode.net#docker 


Docker 的 Twitter 主页 : https://twitter.com/docker 


其 他 资源 


Docker 的 StackOverflow 问 答 主 页 : https://stackoverflow.com/search? 
g=docker 
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